CVE-2019-2215: Uso después de la vulnerabilidad del controlador Binder
Para obtener más información, consulte:
Ha habido informes de exploits activos de esta vulnerabilidad. Zebra recomienda encarecidamente a los clientes que apliquen actualizaciones para los productos Zebra afectados para mitigar el riesgo de explotación.
Zebra se toma en serio la seguridad y recomienda que los clientes actualicen a la última Versión BSP y acepten parches mensuales para minimizar los riesgos de seguridad.
Las actualizaciones se publicarán en cada página de soporte técnico del dispositivo a medida que se publiquen.
La vulnerabilidad del controlador de enlazador de uso después de libre es un error de privilegio del núcleo que puede afectar a los dispositivos Zebra que ejecutan el sistema operativo Android 8.1 (Oreo). Otros sistemas operativos no se ven afectados o ya han abordado la vulnerabilidad.
Según lo informado por Maddie Stone del equipo de seguridad de Android:
En la confirmación ascendente: "binder_poll() pasa la cola de espera thread->wait que se puede dormir para trabajar. Cuando un subproceso que utiliza epoll se cierra explícitamente mediante BINDER_THREAD_EXIT, la cola de espera se libera, pero nunca se quita de la estructura de datos de epoll correspondiente. Cuando el proceso se cierra posteriormente, el código de limpieza de epoll intenta acceder a la lista de espera, lo que da como resultado un uso después de la liberación."
El control del acceso kernel/root también puede conducir a una "cadena de explotación", donde los actores malintencionados utilizan exploits adicionales para recopilar información del dispositivo.
Mientras que la vulnerabilidad está clasificada como alta, requiere la instalación de una aplicación comprometida para que se produzca un exploit. Zebra anima a los clientes a bloquear las capacidades de los dispositivos para evitar la instalación de aplicaciones comprometidas.
Productos Zebra impactados
Estas vulnerabilidades pueden afectar a algunos los ordenadores móviles, tabletas y quioscos zebra que ejecutan Oreo 8.1.
Las actualizaciones están programadas para estar disponibles para los productos afectados de la siguiente manera:
- TC2x products: November 15th, 2019
- Todos los demás productos afectados: 29, 2019 de octubre
Las actualizaciones se pueden descargar desde páginas de soporte individuales en esa fecha.
Páginas de soporte para productos afectados:
Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.
A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.
¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?