CVE-2019-2215:Binder 驱动程序中的 Use-After-Free 漏洞
有关更多信息,请参阅:
已有关于主动利用此漏洞的报告。Zebra 强烈建议客户对受影响的 Zebra 产品进行更新,以降低利用风险。
Zebra 非常重视安全,建议客户更新到 BSP 新版本,并安装每月补丁,以较大程度降低安全风险。
更新将于发布之时公布在每个设备支持页面。
Binder 驱动程序中的 use-after-free 漏洞是一种内核特权提升漏洞,可能会影响运行 Android 8.1 (Oreo) 操作系统的 Zebra 设备。其他操作系统没有受到影响或已经解决了该漏洞。
正如 Android 安全团队的 Maddie Stone 所报告的那样:
在上游 commit 中:“binder_poll() 传递可等待的等待队列线程。当使用 epoll 的线程使用 BINDER_THREAD_EXIT 明确退出时,等待队列被释放,但不会从相应的 epoll 数据结构中删除。当该过程随后退出时,epoll 清理代码会尝试访问等待列表,这将导致 use-after-free。”
对内核/根访问权限的控制还可能导致“漏洞利用链”,恶意用户会使用其他漏洞利用从设备收集信息。
尽管该漏洞的等级为“高”,但它需要安装受感染的应用程序才能被利用。Zebra 建议客户锁定设备功能,以阻止安装受感染的应用程序。
受影响的 Zebra 产品
这些漏洞可能会影响某些运行 Oreo 8.1 的 Zebra 移动数据终端、平板电脑和自助服务终端。
更新可用于受影响的产品,如下所示:
- TC2x 产品:2019 年 11 月 15 日
- 各种其他受影响的产品:2019 年 10 月 29 日
可在该日期从特定支持页面下载更新。
受影响产品的支持页面:
免责声明:Zebra 会尽力在 Google 发布安全公告时发布安全更新。但是,安全更新的交付时间可能会因地区、产品型号和第三方软件供应商而异。在某些情况下,在安装安全更新之前,必须将操作系统更新到较新的维护版本。各个产品更新将提供具体指导。
除非另有说明,新报告的问题中没有利用或滥用活跃客户信息的现象。
您了解 Zebra Technologies 产品的潜在安全问题吗?