Российский эксперт нашел в Linux 14 уязвимостей, связанных с USB

10 ноября 2017 13:28


Сотрудник Google и эксперт по безопасности из России Андрей Коновалов опубликовал информацию о 14 новых уязвимостях, которые он обнаружил в Linux. Все эти дыры в безопасности связанны с работой драйверов USB. Эта подсистема и раньше часто критиковалась за баги, позволяющие злоумышленникам захватывать контроль над компьютерами пользователей, запускать на системах произвольные программы или выполнять команды. Новые уязвимости, обнаруженные Коноваловым, позволяют взломать Linux-систему с помощью специально подготовленной USB флешки.

 

В USB-подсистеме ядра Linux обнаружены множественные уязвимости

 

Российский эксперт изучает драйвера USB несколько месяцев с помощью специального продукта Google syzkaller и нашел почти восемь десятков уязвимостей. Однако большинство из них вызывают перезагрузку или зависание операционной системы. Но есть и 14 багов, позволяющих поднять привилегии пользователя и запустить любую программу, в том числе и вредоносную. Syzkaller — утилита разработанная в Google для полуавтоматического поиска дыр в безопасности компьютерных систем с помощью ввода случайных. Неправильных или неожиданных данных (Фаззинг).

Вопросами безопасности драйверов Linux занимаются и другие специалисты. Например, в Университете Лондона была создана специальная утилита для поиска уязвимостей POTUS. С помощью этой программы было обнаружена утечка памяти в драйвере USB радио-устройства и другие баги, в том числе и старая уязвимость Use-After-Free (обращение к освобожденной области памяти), остававшаяся необнаруженной более 14 лет. По мнению экспертов из Лондона широкое распространение устройств с подключением по USB требует от Linux поддержки большого количества драйверов, многие из которых плохо протестированы.

Особую опасность подобные уязвимости представляют для тех компьютерных систем, которые изолированы от интернета. В таком случае пользователи еще чаще используют USB Flash для переноса данных. Соответственно, высоко внимание киберпреступников к подобным технологиям.





Обсудить материал (0)


Предыдущая статья

Google Play Security Reward Program заплатит за найденные уязвимости
Следующая статья

Google отучит подсматривать в экран чужого смартфона



Реорганизация в Microsoft сделало будущее Andromeda туманным

Во второй половине июня Wccftech опубликовала подробности о загадочном проекте нового смартфоно-планшета Microsoft под названием Andromeda. У этого флагмана должна была быть высокопроизводительная начинка и уникальный складывающийся дизайн. Теперь, после того как руководство софтверной компании пересмотрело приоритеты и провела реорганизацию, судьба футуристического складного гаджета оказалась под большим вопросом.

 

Читать далее...

Google сделал для бизнес-пользователей конструктор приложений

Анонсированный более полугода назад инструмент App Maker вышел и доступен всем подписчикам сервиса G Suite (пакеты «Бизнес», «Предприятие» или «Образование»). Это онлайн конструктор, он позволяет создавать приложения без знаний в программировании. С помощью App Maker можно создавать и быстро развертывать веб-приложения для нужд бизнеса.

Читать далее...

Роскомнадзор угрожает отключить сервисы Apple

Роскомнадзор потребовал от компании Apple удалить из магазина приложений Telegram а также прекратить рассылку push-сообщений мессенджера пользователям AppStore. При этом если американская компания не подчиниться РКН грозится заблокировать на территории России работу сервисов AppStore.

Читать далее...

Microsoft рассказала о внедрении нового дизайна Fluent Design

В Windows 10 с каждым обновлением будут постепенно вноситься элементы в стиле Fluent Design. На конференции Build 2018 представители Microsoft рассказали о будущем нового дизайна интерфейса, который компания намерена сделать обязательным для всех приложений и добиться единого стиля оформления всех элементов GUI.

Читать далее...

Google делает искусственный интеллект доступным широким слоям разработчиков

Пока Илон Маск в своих выступлениях пугает нас порабощением со стороны ИИ, компнаия Google превращает эту технологию в повседневный инструмент. А последние инициативы поискового гиганта делают машинное обучение и искусственный интеллект еще более доступным разработчикам и исследователям. Google предоставила доступ к AutoML это предварительно обученный ИИ для широких задач. Напомним, ранее компания разрешила использовать другую свою разработку — loud Machine Learning Engine API.

Читать далее...

Google Chrome сканирует файлы, из лучших побуждений

Интернет-общественность возмутила новость о том, что браузер Chrome, занимающий 60% рынка, периодически сканирует все файлы на компьютере пользователей. Не только файлы относящиеся к самой программе, но и документы пользователя.  Это обнаружил один из экспертов по ИТ безопасности и новость быстро распространилась через социальные сети. Также об этом написало издание Motherboard.

Читать далее...

За февраль 2018 от майнинга пострадало 42% компаний

Исследовательская компания Check Point опубликовала отчет Global Threat Impact Index в котором сообщается, что по всему миру 42% компаний пострадали от заражения и скрытого майнинга на корпоративных компьютерах. Особенно серьезный удар по инфраструктуре компаний тайный       майнинг нанес в феврале 2018 года.

Читать далее...

Израильская компания нашла способ взламывать все модели iPhone

Компания Cellebrite нашла уязвимость в iOS11 позволяющую обходить защиту всех моделей смартфонов под управлением этой мобильной операционки. Согласно информации, оказавшейся в распоряжении Forbes, новый способ взлома iPhone уже был опробован по заданию американского министерства внутренней безопасности. Хотя в публичном доступе сведений о данной уязвимости нет, все обладатели IPhone находятся в опасности, даже если не являются целью разработки спецслужб.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов