Os drivers USB no kernel do Linux apresentam falhas de segurança que podem ser exploradas, sob código malicioso para obter os computadores de seus usuários . Desta forma, o perito de segurança de segurança do Google Andrey Konovalov informou a comunidade Linux das 14 vulnerabilidades .
Os erros encontrados por Konovalov foram graças a syzkaller, uma ferramenta desenvolvida pelo Google que procura falhas de segurança usando uma técnica chamada fuzzing . "Todos esses erros podem ser ativados com um dispositivo USB malicioso criado à mão, inserido se o invasor tiver acesso físico ao computador", disse o especialista.
O POTUS, que é um projeto criado pela Universidade de Londres, também detectou vulnerabilidades no driver USB. Eles criaram uma máquina virtual, com um driver USB genérico e testes de injeção, frusagem e execução por símbolo.
Os pesquisadores encontraram duas falhas no kernel Linux ao testar com o POTUS . O primeiro foi CVE-2016-5400 apresentado como um vazamento de memória em um controlador de USB para se comunicar com um Airspy Software Defined Radio (SDR) e o segundo chamado "Use-After-Free" (sem o identificador CVE) que existe em o driver Lego USB Tower no kernel Linux desde 2013
Essas 14 vulnerabilidades fazem parte de uma lista de 79 vulnerabilidades encontradas por Konovalov nos últimos meses. Linus Torvalds elogiou a iniciativa para a busca dessas decisões.
A equipe de pesquisadores concluiu que o Linux que tem que adotar uma grande lista de controladores significa que nem todos podem ser exaustivamente testados em busca de vulnerabilidades .
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário