Chatten Sie mit uns
Loader
Verbindung wird hergestellt, bitte warten Sie, während wir Sie verbinden.

Die neuen und verbesserten Seiten für Support und Downloads sind jetzt verfügbar! Sie haben gefragt, wir haben zugehört.​​​​​​​ Besuchen Sie die Seite Support und Downloads, um mehr über dieses Update zu erfahren.

CVE-2019-2215: Use-after-free-Schwachstelle in Binder-Treibern

Logo Zebra LifeGuard Android-Sicherheitsprogramm

Weitere Informationen finden Sie unter:

Es wurde die mehrmalige aktive Ausnutzung dieser Schwachstelle gemeldet. Zebra rät Kunden dringend dazu, die Updates für betroffene Zebra Produkte anzuwenden, um die Risiko der Ausnutzung dieser Schwachstellen zu reduzieren.

Zebra nimmt Sicherheit ernst und empfiehlt Kunden, auf die neueste BSP zu aktualisieren und monatliche Patches zu akzeptieren, um Sicherheitsrisiken zu minimieren.

Updates werden auf der Support-Seite jedes Geräts bekannt gemacht, sobald sie herausgegeben werden.

Die Use-After-Free-Schwachstelle in Binder-Treibern ist ein Kernel-Privileg-Fehler, der in Betriebssystemen von Zebra Geräten unter Android 8.1 (Oreo) auftreten kann. Andere Betriebssysteme sind entweder hiervon nicht betroffen oder haben bereits Maßnahmen gegen diese Schwachstelle ergriffen.

Wie Maddie Stone vom Android-Sicherheitsteam berichtete:

Im Upstream-Commit: „binder_poll() übergibt den Thread->Warteschlange abwarten, die für die Arbeit deaktiviert werden. Wenn ein Thread, der Epoll verwendet, ausdrücklich mit dem Befehl BINDER_THREAD_EXIT beendet wird, wird die Warteschlange freigegeben, ohne jedoch jemals aus der entsprechenden Epoll-Datenstruktur entfernt zu werden. Wenn der Prozess anschließend beendet wird, versucht der Epoll-Bereinigungscode einen Zugriff auf die Warteliste, wodurch eine Use-after-free-Schwachstelle entsteht.

Die Steuerung des Kernel-/Root-Zugriffs kann außerdem zu einer Exploit-Kette führen, bei der böswillige Akteure sich durch die Verwendung zusätzlicher Exploits Zugriff auf Informationen auf dem Gerät verschaffen.

Obgleich die Schwachstelle als risikoreich eingestuft wird, treten diese Exploits nur auf, nachdem eine kompromittierte Anwendungen installiert wurde. Zebra empfiehlt Kunden, die Gerätefunktionen zu sperren, um eine Installation von kompromittierten Anwendungen zu verhindern.

Betroffene Zebra Produkte

Diese Schwachstellen können mobile Computer, Tablets und Kioske von Zebra mit Oreo 8.1 gefährden.

Die Herausgabe von Updates für die betroffenen Produkte ist an folgenden Terminen geplant:

  • TC2x-Produkte: 15. November 2019

  • Alle anderen Produkte: 29. Oktober 2019

Die Updates können zu den angegebenen Terminen von den entsprechenden Support-Seiten heruntergeladen werden.

Support-Seiten für betroffene Produkte:

Mobile Computer

MC33 GMS | Nicht-GMS
MC3300R GMS | Nicht-GMS
MC9300 GMS | Nicht-GMS
PS20 Alle
TC20 GMS | Nicht-GMS
TC25 GMS | Nicht-GMS
TC52 GMS | Nicht-GMS
TC57 GMS | Nicht-GMS
TC72 GMS | Nicht-GMS
TC77 GMS | Nicht-GMS
TC8300 GMS
VC8300 GMS

Kioske

CC600/CC6000 GMS | Nicht-GMS

Tablets

ET51 GMS | Nicht-GMS
ET56
GMS | Nicht-GMS
L10A GMS | Nicht-GMS (nur China)

Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.

Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.



Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?