Noll
Video: Microsoft uppmanar sina kunder att installera senaste patchen: Det fixar 254 sårbarheter
En sårbarhet i vissa versioner av Oracle Solaris företag OS kan göra det möjligt för angripare att redigera koden i minnet och kunna utnyttja det för att få full root kontroll över en maskin.
Förmånen sårbarhet — nu lagas — är närvarande i nuvarande versioner av Oracle Solaris 10 och 11 kör Sun StorageTek Tillgänglighet Suite (AVS) för filsystem och kan användas för att få tillgång till en låg nivå för användaren eller tjänst konto och därifrån få full root-åtkomst till systemet.
Minnet korruption bugg har upptäckts och beskrivits av forskare vid Trustwave — och dess ursprung går tillbaka ända till 2007. Den ursprungliga frågan lämnades under 2009 och tydligen fast, men forskare revisited koden för detta år bara för att hitta den rätta var delvis och brister fortfarande tillåtna körning av skadlig kod.
Ursprunget till den utnyttjar, CVE-2018-2892, ligga i ett litet fragment av kod som innehåller ett antal separata sårbarheter runt dereferencing pekare, medel för att få värden som lagras i en särskild minnesplats.
“Angripare kan utnyttja säkerhetsproblemet för att ta tillgången till en låg nivå för användaren eller tjänst konto och få full root-tillgång till hela systemet,” Neil Vattenkokare, application security principal consultant vid SpiderLabs på Trustwave som berättade ZDNet.
LÄS: It-säkerhet i ett sakernas internet och mobila världen (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
En angripare som utnyttjar denna sårbarhet behöver direkt åtkomst till en användare eller service-konto.
“Detta kan erhållas genom att rikta användare med social engineering attacker eller genom att utnyttja sårbarheter i befintliga tjänster. När angriparen har tillgång till ett konto, denna sårbarhet kan vara mycket enkelt utnyttjas för att få fullständig root kontroll över systemet,” sade Vattenkokare.
Medan den ursprungliga 2007 sårbarhet har förmodligen använts i det vilda, det finns ingen bekräftelse på att den nya exploit har använts för att genomföra en attack. Ändå, Trustwave som avslöjade upptäckten Oracle, som har levererat en patch för att fixa kryphål.
De senaste och relaterade täckning
Oracles senaste Linux fixar: Nya Spectre, Lat FPU fläckar nötkött upp försvar
Oracle har nya korrigeringar som finns för Spectre brister som påverkar Linux-system på Intel-och AMD-chips.
Oracle Access Manager säkerhet bugg så allvarlig att det låter vem som helst få tillgång till skyddade data
Den moraliska? Inte rulla dina egna crypto, säkerhet forskare talar Oracle.
LÄS MER OM IT-SÄKERHET
Git-arkiv sårbarhet leder till fjärrkörning av kod attacksHow för att skydda din DATOR mot Intel chip fel [MAG]Oracle viktiga uppdateringen åtgärdar 254 brister – så får lapp nowIT: Patch dessa kritiska nya sårbarheter i Windows, Adobe, och OS-kärnor [TechRepublic]Oracle skjuter emergency patch för kritiska Tuxedo-server sårbarhet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0