CVE-2019-2215: Use-after-free-Schwachstelle in Binder-Treibern
Weitere Informationen finden Sie unter:
Es wurde die mehrmalige aktive Ausnutzung dieser Schwachstelle gemeldet. Zebra rät Kunden dringend dazu, die Updates für betroffene Zebra Produkte anzuwenden, um die Risiko der Ausnutzung dieser Schwachstellen zu reduzieren.
Zebra nimmt Sicherheit ernst und empfiehlt Kunden, auf die neueste BSP zu aktualisieren und monatliche Patches zu akzeptieren, um Sicherheitsrisiken zu minimieren.
Updates werden auf der Support-Seite jedes Geräts bekannt gemacht, sobald sie herausgegeben werden.
Die Use-After-Free-Schwachstelle in Binder-Treibern ist ein Kernel-Privileg-Fehler, der in Betriebssystemen von Zebra Geräten unter Android 8.1 (Oreo) auftreten kann. Andere Betriebssysteme sind entweder hiervon nicht betroffen oder haben bereits Maßnahmen gegen diese Schwachstelle ergriffen.
Wie Maddie Stone vom Android-Sicherheitsteam berichtete:
Im Upstream-Commit: „binder_poll() übergibt den Thread->Warteschlange abwarten, die für die Arbeit deaktiviert werden. Wenn ein Thread, der Epoll verwendet, ausdrücklich mit dem Befehl BINDER_THREAD_EXIT beendet wird, wird die Warteschlange freigegeben, ohne jedoch jemals aus der entsprechenden Epoll-Datenstruktur entfernt zu werden. Wenn der Prozess anschließend beendet wird, versucht der Epoll-Bereinigungscode einen Zugriff auf die Warteliste, wodurch eine Use-after-free-Schwachstelle entsteht.
Die Steuerung des Kernel-/Root-Zugriffs kann außerdem zu einer Exploit-Kette führen, bei der böswillige Akteure sich durch die Verwendung zusätzlicher Exploits Zugriff auf Informationen auf dem Gerät verschaffen.
Obgleich die Schwachstelle als risikoreich eingestuft wird, treten diese Exploits nur auf, nachdem eine kompromittierte Anwendungen installiert wurde. Zebra empfiehlt Kunden, die Gerätefunktionen zu sperren, um eine Installation von kompromittierten Anwendungen zu verhindern.
Betroffene Zebra Produkte
Diese Schwachstellen können mobile Computer, Tablets und Kioske von Zebra mit Oreo 8.1 gefährden.
Die Herausgabe von Updates für die betroffenen Produkte ist an folgenden Terminen geplant:
- TC2x-Produkte: 15. November 2019
- Alle anderen Produkte: 29. Oktober 2019
Die Updates können zu den angegebenen Terminen von den entsprechenden Support-Seiten heruntergeladen werden.
Support-Seiten für betroffene Produkte:
Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.
Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.
Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?