CVE-2019-2215: 바인더 드라이버 취약점에서 사용 후 사용
바인더 드라이버에서 사용 후 무료 취약점은 잠재적으로 안드로이드 8.1 (Oreo) 운영 체제를 실행하는 Zebra 장치에 영향을 미치는 커널 권한 버그입니다. 다른 운영 체제는 영향을 받지 않았거나 이미 취약점을 해결했습니다.
안드로이드 보안 팀에서 매디 스톤에 의해보고 된 바와 같이 :
업스트림 커밋에서 "binder_poll()는 작업을 위해 잠들어 있을 수 있는 스레드>대기 대기열을 전달합니다. epoll을 사용하는 스레드가 BINDER_THREAD_EXIT 사용하여 명시적으로 종료되면 대기큐가 해제되지만 해당 대/면 데이터 구조에서 제거되지 는 않습니다. 프로세스가 종료되면 대기자 명단에 액세스하려고 합니다."
커널/루트 액세스를 제어하면 악의적인 사용자가 추가 악용을 사용하여 장치에서 정보를 수집하는 "악용 체인"이 발생할 수도 있습니다.
이 취약점의 등급이 높음은 높지만 악용이 발생하려면 손상된 응용 프로그램을 설치해야 합니다. Zebra는 고객이 손상된 애플리케이션의 설치를 방지하기 위해 장치 기능을 잠그도록 권장합니다.
영향을 받은 Zebra 제품
이러한 취약점은 Oreo 8.1. 실행하는 일부 Zebra 모바일 컴퓨터, 태블릿 및 키오스크에 잠재적으로 영향을 미칠 수 있습니다.
다음과 같이 영향을 받는 제품에 대해 업데이트를 사용할 수 있도록 예약되어 있습니다.
- TC2x 제품: 15월 11일, 2019일
- 기타 영향을 받은 제품: 29월 10일, 2019일
업데이트는 해당 날짜에 개별 지원 페이지에서 다운로드할 수 있습니다.
영향을 받은 제품에 대한 지원 페이지:
면책 조항: Zebra는 Google에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 시도를 합니다. 그러나 보안 업데이트의 배달 시간은 지역, 제품 모델 및 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트를 설치하기 전에 OS를 최신 유지 관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트는 구체적인 지침을 제공합니다.
달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.
Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?