Российский эксперт нашел в Linux 14 уязвимостей, связанных с USB

10 ноября 2017 13:28


Сотрудник Google и эксперт по безопасности из России Андрей Коновалов опубликовал информацию о 14 новых уязвимостях, которые он обнаружил в Linux. Все эти дыры в безопасности связанны с работой драйверов USB. Эта подсистема и раньше часто критиковалась за баги, позволяющие злоумышленникам захватывать контроль над компьютерами пользователей, запускать на системах произвольные программы или выполнять команды. Новые уязвимости, обнаруженные Коноваловым, позволяют взломать Linux-систему с помощью специально подготовленной USB флешки.

 

В USB-подсистеме ядра Linux обнаружены множественные уязвимости

 

Российский эксперт изучает драйвера USB несколько месяцев с помощью специального продукта Google syzkaller и нашел почти восемь десятков уязвимостей. Однако большинство из них вызывают перезагрузку или зависание операционной системы. Но есть и 14 багов, позволяющих поднять привилегии пользователя и запустить любую программу, в том числе и вредоносную. Syzkaller — утилита разработанная в Google для полуавтоматического поиска дыр в безопасности компьютерных систем с помощью ввода случайных. Неправильных или неожиданных данных (Фаззинг).

Вопросами безопасности драйверов Linux занимаются и другие специалисты. Например, в Университете Лондона была создана специальная утилита для поиска уязвимостей POTUS. С помощью этой программы было обнаружена утечка памяти в драйвере USB радио-устройства и другие баги, в том числе и старая уязвимость Use-After-Free (обращение к освобожденной области памяти), остававшаяся необнаруженной более 14 лет. По мнению экспертов из Лондона широкое распространение устройств с подключением по USB требует от Linux поддержки большого количества драйверов, многие из которых плохо протестированы.

Особую опасность подобные уязвимости представляют для тех компьютерных систем, которые изолированы от интернета. В таком случае пользователи еще чаще используют USB Flash для переноса данных. Соответственно, высоко внимание киберпреступников к подобным технологиям.





Обсудить материал (0)


Предыдущая статья

Google Play Security Reward Program заплатит за найденные уязвимости
Следующая статья

Google отучит подсматривать в экран чужого смартфона



Отсутствие интереса и проблемы с безопасностью привели к закрытию Google+

Компания Google официально сообщила в своем блоге о закрытии социальной сети Google+. Речь идет о прекращении доступа к этой службе у обычных пользователей. Для корпораций Google+ сохранится и будет даже развиваться. Полное закрытие социальной сети произойдет до лета 2019 года.

 

Читать далее...

Bloomberg считает, что Samsung сократит производство памяти, чтобы продавать ее подороже

Ресурс Bloomberg, ссылаясь на собственных информаторов, сообщил о планах южнокорейского гиганта уменьшить производство чипов памяти в 2019 году. Это будет ответ Samsung Electronics на ожидаемое сокращение спроса из-за дефицита 14-нанометровых микросхем Intel и других факторов.

Читать далее...

Юбилей Google Chrome — самому популярному браузеру исполнилось 10 лет

Браузер Google Chrome стал настолько привычен и распространен, что многими воспринимает неотъемлемым атрибутом интернет-жизни, который был всегда. На днях эта программа, постепенно превратившаяся в платформу, отпраздновала 10-летний юбилей. 1 сентября 2008 года в блоге Google появилась публикация о выпуске компанией собственного браузера, а второго сентября можно уже было загрузить бета версию.

Читать далее...

Android 9.0 все больше заботится о безопасности и блокирует некоторые приложения

Кроме нововведений, заметных обычным пользователям, в последней версии Android Pie появились новинки, ударившие по сторонним разработчикам вспомогательных утилит. Например, заблокированы приложения для записи звонков. Теперь это можно будет делать только, получив на смартфоне права суперпользователя. В прошлом Google была не против программ записи разговоров, если собеседник в начале предупреждался специальным сигналом.

Читать далее...

eLwis умер, для сети немецких супермаркетов

Неудачей закончилась попытка немецкой сети супермаркетов Lidl внедрить в своих подразделениях систему управления бизнесом eLwis. Это EPR разрабатывалась специалистами Lidl в сотрудничестве известным производителем корпоративного ПО SAP с 2011 года. Издание Lebensmittelzeitung опросила экспертов по внедрению такого ПО, по их мнению, немецкая сеть супермаркетов потратила на этот неудавшийся проект не менее 500 миллионов евро.

Читать далее...

Реорганизация в Microsoft сделало будущее Andromeda туманным

Во второй половине июня Wccftech опубликовала подробности о загадочном проекте нового смартфоно-планшета Microsoft под названием Andromeda. У этого флагмана должна была быть высокопроизводительная начинка и уникальный складывающийся дизайн. Теперь, после того как руководство софтверной компании пересмотрело приоритеты и провела реорганизацию, судьба футуристического складного гаджета оказалась под большим вопросом.

 

Читать далее...

Google сделал для бизнес-пользователей конструктор приложений

Анонсированный более полугода назад инструмент App Maker вышел и доступен всем подписчикам сервиса G Suite (пакеты «Бизнес», «Предприятие» или «Образование»). Это онлайн конструктор, он позволяет создавать приложения без знаний в программировании. С помощью App Maker можно создавать и быстро развертывать веб-приложения для нужд бизнеса.

Читать далее...

Роскомнадзор угрожает отключить сервисы Apple

Роскомнадзор потребовал от компании Apple удалить из магазина приложений Telegram а также прекратить рассылку push-сообщений мессенджера пользователям AppStore. При этом если американская компания не подчиниться РКН грозится заблокировать на территории России работу сервисов AppStore.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов