チャットでのお問い合わせ
Loader
接続中です。しばらくお待ちください。

CVE-2019-2215: バインダー ドライバの脆弱性で使用後の使用

詳細については、以下を参照してください。

There have been reports of active exploits of this vulnerability. Zebra strongly recommends customers apply updates for impacted Zebra products to mitigate the risk of exploitation.

Zebraはセキュリティを真剣に受け止めており、セキュリティリスクを最小限に抑えるために、お客様が最新のBSPにアップデートし、毎月のパッチを受け入れることを推奨しています。

更新は、リリースされると各デバイス サポート ページに投稿されます。

The use-after-free in binder driver vulnerability is a kernel privilege bug potentially affecting Zebra devices running the Android 8.1 (Oreo) operating system. Other operating systems are either not impacted or have already addressed the vulnerability. 

Androidセキュリティチームからマディストーンによって報告されたように:

In the upstream commit: "binder_poll() passes the thread->wait waitqueue that can be slept on for work. When a thread that uses epoll explicitly exits using BINDER_THREAD_EXIT, the waitqueue is freed, but it is never removed from the corresponding epoll data structure. When the process subsequently exits, the epoll cleanup code tries to access the waitlist, which results in a use-after-free."

カーネル/ルートアクセスの制御は、悪意のあるアクターがデバイスから情報を収集するために追加のエクスプロイトを使用する「エクスプロイトチェーン」につながる可能性もあります。

While the vulnerability is rated High, it requires installation of a compromised application for exploit to occur. Zebra encourages customers to lock down device capabilities to prevent installation of compromised applications.

影響を受けたZebra製品

これらの脆弱性は一部の Zebra モバイル コンピュータ、タブレット、または Oreo 8.1. を実行しているキオスクに影響を及ぼす可能性があります。

影響を受ける製品に対して、次のように更新プログラムを提供する予定です。

  • TC2x製品:15月11日、2019日

  • その他の影響を受けた製品:29月10日、2019日

更新プログラムは、その日の個別のサポート ページからダウンロードできます。

影響を受けた製品のサポートページ:
 

モバイルコンピュータ

MC33 GMS |非GMS
MC3300R GMS |非GMS
MC9300GMS |非GMS
PS20 すべて
TC20GMS |非GMS
TC25 GMS |非GMS
TC52GMS |非GMS
TC57 GMS |非GMS
TC72 GMS |非GMS
TC77 GMS |非GMS
TC8300 GMS
VC8300GMS

キオスク

CC600/CC6000 GMS |非GMS

錠剤

ET51 GMS |非GMS
ET56
GMS |非GMS
L10A GMS |非GMS(中国のみ)

 

 

Disclaimer: Zebra makes every attempt to release security updates on or about the time that Google releases its respective security bulletin. However, delivery time of security updates may vary depending on the region, product model, and third party software suppliers. Under some circumstances, the OS must be updated to the latest maintenance release prior to installing the security updates. Individual product updates will provide specific guidance.

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?