Porozmawiaj z nami
Ładowarka
Ustanawianie połączenia, prosimy o cierpliwość.

CVE-2019-2215: Use-After-Free in Binder Driver Vulnerability

Aby uzyskać więcej informacji, zobacz:

Istnieją doniesienia o aktywnych exploitów tej usterki. Firma Zebra zdecydowanie zaleca klientom stosowanie aktualizacji mających wpływ na produkty firmy Zebra w celu ograniczenia ryzyka ich wykorzystywania.

Firma Zebra poważnie traktuje bezpieczeństwo i zaleca klientom aktualizację do najnowszej wersji BSP i zaakceptowanie comiesięcznych poprawek w celu zminimalizowania ryzyka związanego z bezpieczeństwem.

Aktualizacje zostaną opublikowane na każdej stronie pomocy technicznej urządzenia, ponieważ są one wydawane.

Luka w zabezpieczeniach sterownika spinacza umożliwiająca użycie po użyciu jest błędem jądra, który może mieć wpływ na urządzenia Zebra z systemem operacyjnym Android 8,1 (OREO) . Inne systemy operacyjne nie mają wpływu lub zostały już uwzględnione w tej luce.

Jak donoszą Maddie Stone z zespołu bezpieczeństwa Android:

W nadrzędnym commit: "binder_poll () przechodzi > oczekiwania wątku waitqueue, który może być spał do pracy. Gdy wątek, który używa epoll jawnie kończy pracę przy użyciu BINDER_THREAD_EXIT, waitqueue jest zwalniana, ale nigdy nie jest usuwany z odpowiedniej struktury danych epoll. Gdy proces następnie kończy działanie, kod oczyszczania epoll próbuje uzyskać dostęp do listy oczekujących, co powoduje użycie po wolne. "

Kontrola dostępu do jądra/root może również prowadzić do "łańcucha exploitów", gdzie złośliwe podmioty wykorzystują dodatkowe exploitów do zbierania informacji z urządzenia.

Podczas gdy Luka w zabezpieczeniach jest wysoka, wymaga instalacji zagrożony aplikacji do wykorzystania. Firma Zebra zachęca klientów do blokowania możliwości urządzeń w celu zapobieżenia instalacji aplikacji naruszających te funkcje.

Wpływ produktów Zebra

These vulnerabilities potentially impact some Zebra mobile computers, tablets and kiosks running Oreo 8.1.  

Aktualizacje mają być dostępne dla produktów, których dotyczy problem, w następujący sposób:

  • TC2x products: November 15th, 2019

  • All other impacted products: October 29th, 2019

Aktualizacje można pobierać z poszczególnych stron pomocy technicznej w tym dniu.

Strony wsparcia dla produktów, których dotyczy wpływ:
 

Komputery przenośne

MC33  GMS | Non-GMS
MC3300R  GMS | Non-GMS
MC9300 GMS | Non-GMS
PS20 All
TC20 GMS | Non-GMS
TC25 GMS | Non-GMS
TC52  GMS | Non-GMS
TC57 GMS | Non-GMS
TC72 GMS | Non-GMS
TC77 GMS | Non-GMS
TC8300 GMS
VC8300 GMS

Kioski

CC600/CC6000 GMS | Non-GMS

Tablety

ET51 GMS | Non-GMS
ET56 
GMS | Non-GMS
L10A GMS | Non-GMS (China only)

 

 

Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.

O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.



Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?