Свяжитесь с нами в чате
Загрузчик
Установка соединения, пожалуйста, подождите, пока мы вас подключим.

CVE-2019-2215: Использование-После бесплатно в уязвимости драйвера Биндер

Для получения дополнительной информации, пожалуйста, см.:

Поступали сообщения об активных подвигах этой уязвимости. Zebra настоятельно рекомендует клиентам применять обновления для пострадавших продуктов Zebra, чтобы уменьшить риск эксплуатации.

Zebra серьезно относится к безопасности и рекомендует клиентам обновляться до последних BSP и принимать ежемесячные патчи, чтобы минимизировать риски безопасности.

Обновления будут размещаться на каждой странице поддержки устройства по мере их выпуска.

Уязвимость драйвера драйвера использования после этого является ошибкой в привилегиях ядра, потенциально затрагивающей устройствах Zebra, работающих под управлением операционной системы Android 8.1 (Oreo) . Другие операционные системы либо не пострадали, либо уже устранили уязвимость.

Как сообщилм Мэдди Стоун из команды безопасности Android:

В восходящем потоке коммит: "binder_poll () проходит поток-gt;waitqueue, который можно спать на работу. Когда поток, использующий явное удаление, выходит с помощью BINDER_THREAD_EXIT, лист ожидания освобождается, но никогда не удаляется из соответствующей структуры данных epoll. Когда процесс впоследствии выходит, код очистки epoll пытается получить доступ к листу ожидания, что приводит к использованию после свободного использования."

Контроль доступа ядра/корней также может привести к «цепочке эксплуатации», когда злоумышленники используют дополнительные эксплойты для сбора информации с устройства.

Хотя уязвимость оценивается как высокая, она требует установки скомпрометированного приложения для эксплойта. Zebra призывает клиентов блокировать возможности устройства, чтобы предотвратить установку скомпрометированных приложений.

Воздействие продуктов Zebra

Эти уязвимости потенциально влияют на некоторые мобильные компьютеры, планшеты и киоски Zebra под управлением Oreo 8.1.

Обновления планируется получить для затронутых продуктов следующим образом:

  • TC2x products: November 15th, 2019

  • Все остальные продукты, затронутые: 29 октября, 2019

Обновления могут быть загружены с отдельных страниц поддержки в этот день.

Страницы поддержки воздействий продуктов:
 

Мобильные компьютеры

MC33 ГС н-ГМС
MC3300R GMS н-ГМС
М9300 GMS н-ГМС
PS20 Все
TC20 GMS н-ГМС
TC25 GMS н-ГМС
TC52 GMS н-ГМС
TC57 GMS н-ГМС
TC72 GMS н-ГМС
TC77 GMS н-ГМС
TC8300 GMS
VC8300 GMS

Киоски

CC600/CC6000 GMS нон-ГМС

Планшеты

ET51 GMS н-ГМС
ET56
GMS н-ГМС
L10A GMS нн-ГМС (только китай)

 

 

Отказ от ответственности: Zebra делает все возможное, чтобы выпустить обновления безопасности или о времени, что Google выпускает свой соответствующий бюллетень безопасности. Однако сроки предоставления обновлений безопасности могут варьироваться в зависимости от региона, модели продукта и сторонних поставщиков программного обеспечения. При некоторых обстоятельствах ОС должна быть обновлена до последнего выпуска технического обслуживания до установки обновлений безопасности. Отдельные обновления продуктов предоставят конкретные рекомендации.

Если не будет отмечено иное, не поступало никаких сообщений об активной эксплуатации или злоупотреблении со стороны клиентов в связи с этими вновь зарегистрированными проблемами.



Знаете ли вы о потенциальной проблеме безопасности с продуктом «Zebra Технологии»?