CVE-2019-2215: Use-After-Free in Binder Driver Vulnerability
Aby uzyskać więcej informacji, zobacz:
Istnieją doniesienia o aktywnych exploitów tej usterki. Firma Zebra zdecydowanie zaleca klientom stosowanie aktualizacji mających wpływ na produkty firmy Zebra w celu ograniczenia ryzyka ich wykorzystywania.
Firma Zebra poważnie traktuje bezpieczeństwo i zaleca klientom aktualizację do najnowszej wersji BSP i zaakceptowanie comiesięcznych poprawek w celu zminimalizowania ryzyka związanego z bezpieczeństwem.
Aktualizacje zostaną opublikowane na każdej stronie pomocy technicznej urządzenia, ponieważ są one wydawane.
Luka w zabezpieczeniach sterownika spinacza umożliwiająca użycie po użyciu jest błędem jądra, który może mieć wpływ na urządzenia Zebra z systemem operacyjnym Android 8,1 (OREO) . Inne systemy operacyjne nie mają wpływu lub zostały już uwzględnione w tej luce.
Jak donoszą Maddie Stone z zespołu bezpieczeństwa Android:
W nadrzędnym commit: "binder_poll () przechodzi > oczekiwania wątku waitqueue, który może być spał do pracy. Gdy wątek, który używa epoll jawnie kończy pracę przy użyciu BINDER_THREAD_EXIT, waitqueue jest zwalniana, ale nigdy nie jest usuwany z odpowiedniej struktury danych epoll. Gdy proces następnie kończy działanie, kod oczyszczania epoll próbuje uzyskać dostęp do listy oczekujących, co powoduje użycie po wolne. "
Kontrola dostępu do jądra/root może również prowadzić do "łańcucha exploitów", gdzie złośliwe podmioty wykorzystują dodatkowe exploitów do zbierania informacji z urządzenia.
Podczas gdy Luka w zabezpieczeniach jest wysoka, wymaga instalacji zagrożony aplikacji do wykorzystania. Firma Zebra zachęca klientów do blokowania możliwości urządzeń w celu zapobieżenia instalacji aplikacji naruszających te funkcje.
Wpływ produktów Zebra
These vulnerabilities potentially impact some Zebra mobile computers, tablets and kiosks running Oreo 8.1.
Aktualizacje mają być dostępne dla produktów, których dotyczy problem, w następujący sposób:
- TC2x products: November 15th, 2019
- All other impacted products: October 29th, 2019
Aktualizacje można pobierać z poszczególnych stron pomocy technicznej w tym dniu.
Strony wsparcia dla produktów, których dotyczy wpływ:
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?