CVE-2019-2215: Use-After-Free na vulnerabilidade do motorista binder

Para mais informações, por favor, consulte:

Tem havido relatos de explorações ativas dessa vulnerabilidade. Zebra recomenda fortemente que os clientes apliquem atualizações para produtos zebra impactados para mitigar o risco de exploração.

A zebra leva a sério a segurança e recomenda que os clientes atualizem para o BSP mais recente e aceitem patches mensais para minimizar os riscos de segurança.

As atualizações serão lançadas em cada página de suporte do dispositivo à medida que forem lançadas.

O uso-após-livre na vulnerabilidade do motorista de pasta é um bug de privilégio de kernel potencialmente afetando Dispositivos Zebra rodando o sistema operacional Android 8.1 (Oreo) . Outros sistemas operacionais não são afetados ou já abordaram a vulnerabilidade.

Conforme relatado por Maddie Stone da equipe de segurança do Android:

No compromisso upstream: "binder_poll() passa o thread->wait waitqueue que pode ser dormido para o trabalho. Quando um segmento que usa epoll sai explicitamente usando BINDER_THREAD_EXIT, a espera é liberada, mas nunca é removida da estrutura de dados epoll correspondente. Quando o processo sai posteriormente, o código de limpeza do epoll tenta acessar a lista de espera, o que resulta em um uso após o uso livre."

O controle do acesso ao kernel/raiz também pode levar a uma "cadeia de exploração", onde atores mal-intencionados usam façanhas adicionais para coletar informações do dispositivo.

Embora a vulnerabilidade seja classificada como alta, ela requer a instalação de um aplicativo comprometido para que a exploração ocorra. A Zebra incentiva os clientes a bloquear os recursos do dispositivo para evitar a instalação de aplicativos comprometidos.

Produtos de zebra impactados

Essas vulnerabilidades potencialmente impactam alguns computadores, tablets e quiosques móveis zebra executando o Oreo 8.1.

As atualizações estão programadas para estarem disponíveis para os produtos afetados da seguinte forma:

  • Produtos TC2x: 15 de novembro, 2019

  • Todos os outros produtos impactados: 29 de outubro, 2019

As atualizações podem ser baixadas de páginas de suporte individuais nessa data.

Páginas de suporte para produtos impactados:
 

Computadores móveis

MC33 GMS | não-GMS
MC3300R GMS | não-GMS
MC9300 GMS | não GMS
PS20 todos os
TC20 GMS | não GMS
TC25 GMS | não GMS
TC52 GMS | não GMS
TC57 GMS | não GMS
TC72 GMS | não GMS
TC77 GMS | não GMS
TC8300 GMS
VC8300 GMS

Quiosques

CC600/CC6000 GMS | não-GMS

Comprimidos

ET51 GMS | não-GMS
ET56
GMS | não-GMS
L10A GMS | Não-GMS (apenas na China)

 

 

Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.

Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.



Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?