CVE-2019-2215: バインダー ドライバの脆弱性で使用後の使用
詳細については、以下を参照してください。
この脆弱性の悪用が報告されています。Zebraは、影響を受けるZebra製品のアップデートを適用して悪用のリスクを軽減することを強くお勧めします。
Zebraはセキュリティを真剣に受け止めており、セキュリティリスクを最小限に抑えるために、お客様が最新のBSPにアップデートし、毎月のパッチを受け入れることを推奨しています。
更新は、リリースされると各デバイス サポート ページに投稿されます。
バインダードライバーの脆弱性での使用後の使用は、Android 8.1 (Oreo)オペレーティングシステムを実行しているZebraデバイスに影響を与える可能性のあるカーネル特権のバグです。他のオペレーティング システムは影響を受けていないか、既にこの脆弱性に対処しています。
Androidセキュリティチームからマディストーンによって報告されたように:
上流コミットでは、"binder_poll() は、作業のために待機できるスレッド->wait 待機キューを渡します。epoll を使用するスレッドが BINDER_THREAD_EXIT を使用して明示的に終了すると、waitqueue は解放されますが、対応する epoll データ構造からは削除されません。その後、プロセスが終了すると、epoll クリーンアップ・コードは待機リストへのアクセスを試み、その結果、使用後の使用が行われます。
カーネル/ルートアクセスの制御は、悪意のあるアクターがデバイスから情報を収集するために追加のエクスプロイトを使用する「エクスプロイトチェーン」につながる可能性もあります。
この脆弱性は高と評価されていますが、悪用を防ぐためには、侵害されたアプリケーションをインストールする必要があります。Zebraは、侵害されたアプリケーションのインストールを防ぐために、デバイスの機能をロックダウンすることをお客様に奨励しています。
影響を受けたZebra製品
これらの脆弱性は一部の Zebra モバイル コンピュータ、タブレット、または Oreo 8.1. を実行しているキオスクに影響を及ぼす可能性があります。
影響を受ける製品に対して、次のように更新プログラムを提供する予定です。
- TC2x製品:15月11日、2019日
- その他の影響を受けた製品:29月10日、2019日
更新プログラムは、その日の個別のサポート ページからダウンロードできます。
影響を受けた製品のサポートページ:
免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OS を最新のメンテナンス リリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。
特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。
Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?