Northwesterni ülikooli turvateadlane ja doktorant Zhenpeng Lin avastas aastal tuuma mõjutava tõsise haavatavuse. androidseadmed, nagu Pixel 6 seeria või Galaxy S22. Täpseid üksikasju selle haavatavuse toimimise kohta ei ole turvakaalutlustel veel avaldatud, kuid teadlane väidab, et see võib lubada suvalist lugemist ja kirjutamist, privileegide suurendamist ja keelata Linuxi SELinuxi turvafunktsiooni kaitse.
Fotogalerii
Zhenpeng Lin postitas Twitterisse video, mille eesmärk oli näidata, kuidas Pixel 6 Pro haavatavus suutis juurutada ja SELinuxi keelata. Selliste tööriistadega võib häkker ohustatud seadmele palju kahju teha.
Uusim Google Pixel 6 koos 0-päevase tuumaga! Saavutati meelevaldne lugemine/kirjutamine, et suurendada privileege ja keelata SELinux ilma juhtimisvoogu kaaperdamata. Viga mõjutab ka Pixel 6 Pro, teisi piksleid see ei mõjuta 🙂 pic.twitter.com/UsOI3ZbN3L
— Zhenpeng Lin (@Markak_) Juuli 5, 2022
Mitme videos näidatud üksikasja kohaselt võib see rünnak kasutada pahatahtliku tegevuse sooritamiseks mälule juurdepääsu kuritarvitamist, nagu näiteks hiljuti avastatud Dirty Pipe'i haavatavus, mis mõjutas. Galaxy S22, Pixel 6 ja teised androidova seadmed, mis käivitati Linuxi kerneli versiooniga 5.8 Androidu 12. Lin ütles ka, et uus haavatavus mõjutab kõiki telefone, millel töötab Linuxi kerneli versioon 5.10, mis hõlmab ka praegust mainitud Samsungi lipulaevade seeriat.
Teid võiks huvitada
Eelmisel aastal maksis Google 8,7 miljonit dollarit (ligikaudu 211,7 miljonit Tšehhi krooni) oma süsteemis vigade avastamise eest ja praegu pakub kuni 250 6,1 dollarit (ligikaudu XNUMX miljonit Tšehhi krooni) kerneli tasemel haavatavuse leidmise eest, mis ilmselt ongi juhtum. Ei Google ega Samsung pole seda teemat veel kommenteerinud, seega on praegu ebaselge, millal uut Linuxi kerneli ärakasutamist võidakse parandada. Google'i turvapaikade tööviisi tõttu on aga võimalik, et vastav plaaster saabub alles septembris. Seega ei jää meil muud üle, kui oodata.
