В ядре Linux исправлена критическая уязвимость
Исследователь безопасности Янн Хорн (Jann Horn) из Google Project Zero обнаружил в ядре Linux опасную уязвимость. Проблема присутствует в ядре с августа 2014 года, когда была выпущена версия 3.16.
Обнаруженная Хорном уязвимость использования памяти после высвобождения (CVE-2018-17182) позволяет вызывать отказ в обслуживании и выполнять произвольный код с привилегиями суперпользователя.
Исследователь опубликовал PoC-эксплоит, однако отметил, что процесс эксплуатации уязвимости требует очень много времени. Запускающий уязвимость процесс должен продолжаться достаточно долго, чтобы вызвать переполнение счетчика ссылок.
Хорн сообщил о проблеме разработчикам ядра Linux 12 сентября текущего года, и спустя два дня она была исправлена. Уязвимость устранена в версиях ядра 4.18.9, 4.14.71, 4.9.128, 4.4.157 и 3.16.58. Тем не менее, по словам исследователя, злоумышленники могли уже разработать свой эксплоит. Помимо этого, проблема усугубляется задержкой выпуска патчей производителями дистрибутивов.
«Стабильный релиз Debian базируется на версии ядра 4.9, но по состоянию на 26.09.2018 в последний раз ядро обновлялось 21.08.2018. То же самое касается Ubuntu. Релиз 16.04 поставляется с ядром, которое в последний раз обновлялось 27.08.2018», - отметил исследователь.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш