< p class="meta"> Von Charlie Osborne für Zero Day | 6. August 2021 — 11:21 GMT (12:21 BST) | Thema: Sicherheit
BLACK HAT USA: Microsoft-Forscher haben detailliert untersucht, wie sich “BadAlloc”-Schwachstellen auf Millionen von Geräten des Internets der Dinge (IoT) und der Betriebstechnologie (OT) über deren Betriebssysteme.
In einer Rede vor den Teilnehmern der Black Hat-Cybersicherheitskonferenz in Las Vegas sagten die Microsoft Azure Defender for IoT-Forscher Omri Ben-Bassat und Tamir Ariel XXX.
BadAlloc ist der Name für eine Reihe von Sicherheitslücken bei der Speicherzuweisung, die von Microsoft-Forschern in IoT- und OT-Produkten gefunden wurden. Die im April veröffentlichten Fehler könnten es “Gegnern ermöglichen, Sicherheitskontrollen zu umgehen, um bösartigen Code auszuführen oder einen Systemabsturz zu verursachen”, so das Unternehmen.
Die Schwachstellen bestehen in Speicherzuweisungsfunktionen, die in mindestens 17 Echtzeitbetriebssystemen (RTOS), SDKs und Selbstspeicherverwaltungsanwendungen vorhanden sind, und beeinträchtigen Funktionen wie malloc, calloc, realloc, memalign und mehr.
Betroffene Produkte waren Geräte von Amazon, Arm, Google, Media Tek, Samsung und Texas Instruments, und eine Reihe der Sicherheitslücken lauern seit den frühen 90er Jahren in Geräten.
Laut dem Team können die Schwachstellen durch “Aufruf der Speicherzuweisungsfunktion wie malloc ausgelöst werden, wobei der VALUE-Parameter dynamisch von einer externen Eingabe abgeleitet wird und groß genug ist, um einen Integer-Überlauf oder -Wraparound auszulösen.”
Der Wraparound stellt sicher, dass der zugewiesene Speicher klein bleibt, wodurch ein Heap-Überlauf entsteht, der die Ausführung von Code ermöglicht.
Während der Präsentation XXXX
[Präsentation]
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zuvor eine Empfehlung zu den Schwachstellen veröffentlicht. Die Verkäufer wurden vor der Veröffentlichung auf die Mängel aufmerksam gemacht.
====
[QUOTE]
Frühere und verwandte Berichterstattung
Ihre unsicheren Geräte für das Internet der Dinge gefährden jeden Angriff< br> Diese neuen Schwachstellen gefährden Millionen von IoT-Geräten, also jetzt patchen
Die IoT-Sicherheit ist ein Chaos. Diese Richtlinien könnten dabei helfen, das Problem zu beheben
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 