Chatear con nosotros
Cargador
Estableciendo conexión, espere mientras le conectamos.

¡Ya están a su disposición las nuevas y mejoradas páginas de Soporte y descargas! Lo han pedido y se lo hemos concedido. Visite la página de Experiencia de soporte y descargas para obtener más información sobre esta actualización.

CVE-2019-2215: Uso después de la vulnerabilidad del controlador Binder

Logotipo del programa de seguridad Android Zebra Lifeguard

Para obtener más información, consulte:

Ha habido informes de exploits activos de esta vulnerabilidad. Zebra recomienda encarecidamente a los clientes que apliquen actualizaciones para los productos Zebra afectados para mitigar el riesgo de explotación.

Zebra se toma en serio la seguridad y recomienda que los clientes actualicen a la última Versión BSP y acepten parches mensuales para minimizar los riesgos de seguridad.

Las actualizaciones se publicarán en cada página de soporte técnico del dispositivo a medida que se publiquen.

La vulnerabilidad del controlador de enlazador de uso después de libre es un error de privilegio del núcleo que puede afectar a los dispositivos Zebra que ejecutan el sistema operativo Android 8.1 (Oreo). Otros sistemas operativos no se ven afectados o ya han abordado la vulnerabilidad.

Según lo informado por Maddie Stone del equipo de seguridad de Android:

En la confirmación ascendente: "binder_poll() pasa la cola de espera thread->wait que se puede dormir para trabajar. Cuando un subproceso que utiliza epoll se cierra explícitamente mediante BINDER_THREAD_EXIT, la cola de espera se libera, pero nunca se quita de la estructura de datos de epoll correspondiente. Cuando el proceso se cierra posteriormente, el código de limpieza de epoll intenta acceder a la lista de espera, lo que da como resultado un uso después de la liberación."

El control del acceso kernel/root también puede conducir a una "cadena de explotación", donde los actores malintencionados utilizan exploits adicionales para recopilar información del dispositivo.

Mientras que la vulnerabilidad está clasificada como alta, requiere la instalación de una aplicación comprometida para que se produzca un exploit. Zebra anima a los clientes a bloquear las capacidades de los dispositivos para evitar la instalación de aplicaciones comprometidas.

Productos Zebra impactados

Estas vulnerabilidades pueden afectar a algunos los ordenadores móviles, tabletas y quioscos zebra que ejecutan Oreo 8.1.

Las actualizaciones están programadas para estar disponibles para los productos afectados de la siguiente manera:

  • TC2x products: November 15th, 2019

  • Todos los demás productos afectados: 29, 2019 de octubre

Las actualizaciones se pueden descargar desde páginas de soporte individuales en esa fecha.

Páginas de soporte para productos afectados:

Computadoras móviles

MC33 GMS | No GMS
MC3300R GMS | No GMS
MC9300 GMS | No GMS
PS20 Todo
TC20 GMS | No GMS
TC25 GMS | No GMS
TC52 GMS | No GMS
TC57 GMS | No GMS
TC72 GMS | No GMS
TC77 GMS | No GMS
TC8300 GMS
VC8300 GMS

Quioscos

CC600/CC6000 GMS | No GMS

Tabletas

ET51 GMS | No GMS
ET56
GMS | No GMS
L10A GMS | No GMS (solo China)

Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.

A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.



¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?