CVE-2019-2215: Use-After-Free na vulnerabilidade do driver de pasta
Para mais informações, por favor, consulte:
Tem havido relatos de explorações ativas dessa vulnerabilidade. Zebra recomenda fortemente que os clientes apliquem atualizações para produtos zebra impactados para mitigar o risco de exploração.
A zebra leva a sério a segurança e recomenda que os clientes atualizem para o BSP mais recente e aceitem patches mensais para minimizar os riscos de segurança.
As atualizações serão lançadas em cada página de suporte do dispositivo à medida que forem lançadas.
O uso-após-livre na vulnerabilidade do driver de pasta é um bug de privilégio de kernel potencialmente afetando Dispositivos Zebra rodando o sistema operacional Android 8.1 (Oreo) . Outros sistemas operacionais não são afetados ou já abordaram a vulnerabilidade.
Conforme relatado por Maddie Stone da equipe de segurança do Android:
No compromisso upstream: "binder_poll() passa o thread->wait waitqueue que pode ser dormido para o trabalho. Quando um segmento que usa epoll sai explicitamente usando BINDER_THREAD_EXIT, a espera é liberada, mas nunca é removida da estrutura de dados epoll correspondente. Quando o processo sai posteriormente, o código de limpeza do epoll tenta acessar a lista de espera, o que resulta em um uso após o uso livre."
O controle do acesso ao kernel/raiz também pode levar a uma "cadeia de exploração", onde atores mal-intencionados usam façanhas adicionais para coletar informações do dispositivo.
Embora a vulnerabilidade seja classificada como alta, ela requer a instalação de um aplicativo comprometido para que a exploração ocorra. A Zebra incentiva os clientes a bloquear os recursos do dispositivo para evitar a instalação de aplicativos comprometidos.
Produtos de zebra impactados
Essas vulnerabilidades potencialmente impactam alguns computadores, tablets e quiosques móveis zebra executando o Oreo 8.1.
As atualizações estão programadas para estarem disponíveis para os produtos afetados da seguinte forma:
- Produtos TC2x: 15 de novembro, 2019
- Todos os outros produtos impactados: 29 de outubro, 2019
O download das atualizações podem serfeitos de páginas de suporte individuais nessa data.
Páginas de suporte para produtos impactados:
Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.
Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.
Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?