Chatta con noi
Caricatore
Connessione in corso, attendere mentre vi connettiamo.

CVE-2019-2215: Uso-dopo-libero nella vulnerabilità del driver Binder

Per ulteriori informazioni, consultare:

Ci sono state segnalazioni di exploit attivi di questa vulnerabilità. Per ridurre il rischio di sfruttamento, i clienti chiedono vivamente ai clienti gli aggiornamenti per i prodotti di zebra interessati.

Zebra prende sul serio la sicurezza e consiglia ai clienti di eseguire l'aggiornamento al BSP più recente e di accettare patch mensili per ridurre al minimo i rischi per la sicurezza.

Gli aggiornamenti verranno pubblicati in ogni pagina di supporto del dispositivo non appena vengono rilasciati.

La vulnerabilità del driver di binder use-after-free è un bug di privilegio del kernel che potenzialmente interessa i dispositivi Zebra che eseguono il sistema operativo Android 8.1 (Oreo). Altri sistemi operativi non sono interessati o hanno già affrontato la vulnerabilità.

Come riportato da Maddie Stone dal team di sicurezza Android:

Nel commit upstream: "binder_poll() passa il thread->wait wait waitqueue che può essere attivato per il lavoro. Quando un thread che utilizza epoll esce in modo esplicito utilizzando BINDER_THREAD_EXIT, waitqueue viene liberato, ma non viene mai rimosso dalla struttura di dati di epoll corrispondente. Quando il processo viene chiuso successivamente, il codice di pulitura dell'epoll tenta di accedere alla lista d'attesa, il che si traduce in un use-after-free."

Il controllo dell'accesso kernel/root può anche portare a una "catena di exploit", in cui gli attori malintenzionati utilizzano exploit aggiuntivi per raccogliere informazioni dal dispositivo.

Mentre la vulnerabilità è classificato alto, richiede l'installazione di un'applicazione compromessa per exploit si verifichi. Zebra incoraggi i clienti a bloccare le funzionalità dei dispositivi per impedire l'installazione di applicazioni compromesse.

Prodotti di zebra interessati

Queste vulnerabilità potenzialmente influiscono su alcunicomputer portatili, tablet e chioschi Zebra che eseguono Oreo 8.1.

Gli aggiornamenti sono pianificati per essere disponibili per i prodotti interessati come segue:

  • TC2x products: November 15th, 2019

  • Tutti gli altri prodotti interessati: 29 ottobre, 2019

Gli aggiornamenti possono essere scaricati da singole pagine di supporto in tale data.

Pagine di supporto per i prodotti interessati:
 

Computer portatili

MC33 GMS Non-GMS
MC3300R GMS Non-GMS
MC9300 GMS Non-GMS
PS20 Tutto
TC20 GMS Non-GMS
TC25 GMS Non-GMS
TC52 GMS Non-GMS
TC57 GMS Non-GMS
TC72 GMS Non-GMS
TC77 GMS Non-GMS
TC8300 GMS
VC8300 GMS

Chioschi

CC600/CC6000 GMS Non-GMS

Compresse

ET51 GMS Non-GMS
ET56
GMS Non-GMS
L10A GMS Non-GMS (solo Cina)

 

 

Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.

Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.



Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?