CVE-2019-2215: Binder Sürücü Güvenlik Açığında Kullanım Sonrası Ücretsiz
Daha fazla bilgi için lütfen bkz:
Bu güvenlik açığından etkin olarak yararlanıldığına dair raporlar bildirilmiştir. Zebra, müşterilerin sömürü riskini azaltmak için etkilenen Zebra ürünleri için güncelleştirmeler uygulamalarını şiddetle önerir.
Zebra güvenliği ciddiye alır ve müşterilerin en son BSP'ye güncellemelerini ve güvenlik risklerini en aza indirmek için aylık düzeltme emültlerini kabul etmelerini önerir.
Güncelleştirmeler, yayımlandıkça her aygıt destek sayfasına nakledilir.
Bağlayıcı sürücü de kullanımdan sonra ücretsiz güvenlik açığı potansiyel olarak etkileyen bir çekirdek ayrıcalık hatadır Android 8.1 (Oreo) işletim sistemi çalıştıran Zebra cihazları. Diğer işletim sistemleri etkilenmez veya güvenlik açığını zaten gidermiş olur.
Android güvenlik ekibinden Maddie Stone'un bildirdiği gibi:
Upstream commit: "binder_poll() iş için uyunabilir iş parçacığı->bekleyin bekleyin geçer. epoll kullanan bir iş parçacığı BINDER_THREAD_EXIT kullanarak açıkça çıktığında, bekleme sırası serbest bırakılır, ancak ilgili epoll veri yapısından hiçbir zaman kaldırılmaz. İşlem daha sonra çıktığında, epoll temizleme kodu bekleme listesine erişmeye çalışır ve bu da kullanım dan sonra ücretsiz olarak sonuçlanır."
Çekirdek/kök erişiminin kontrolü, kötü niyetli aktörlerin aygıttan bilgi toplamak için ek açıkları kullandığı bir "yararlanma zinciri"ne de yol açabilir.
Güvenlik açığı Yüksek olarak derecelendirilirken, yararlanmanın gerçekleşmesi için gizliliği ihlal edilmiş bir uygulamanın yüklenmesini gerektirir. Zebra, müşterilerin tehlikeye atılı uygulamaların yüklenmesini önlemek için aygıt özelliklerini kilitlemelerini teşvik eder.
Etkilenen Zebra Ürünleri
These vulnerabilities potentially impact some Zebra mobile computers, tablets and kiosks running Oreo 8.1.
Güncelleştirmeler etkilenen ürünler için aşağıdaki gibi kullanılabilir olarak zamanlanmıştır:
- TC2x ürünler: 15 Kasım, 2019
- Diğer tüm etkilenen ürünler: 29 Ekim, 2019
Güncelleştirmeler o tarihteki tek tek destek sayfalarından indirilebilir.
Etkilenen ürünler için destek sayfaları:
Yasal Uyarı: Zebra, Google'ın ilgili güvenlik bültenini yayımlayacağı saat veya bu tarihte güvenlik güncelleştirmelerini yayımlamak için her türlü girişimi yapar. Ancak, güvenlik güncelleştirmelerinin teslim süresi bölgeye, ürün modeline ve üçüncü taraf yazılım tedarikçilerini göre değiştirebilir. Bazı durumlarda, işletim sistemi güvenlik güncelleştirmelerini yüklemeden önce en son bakım sürümüne güncelleştirilmelidir. Tek tek ürün güncelleştirmeleri özel kılavuzlar sağlar.
Aksi belirtilmedikçe, bu yeni bildirilen sorunlardan aktif müşteri sömürüsü veya kötüye kullanım raporu edilmemiştir.
Bir Zebra Technologies ürünüyle ilgili olası bir güvenlik sorununun farkında mısın?