Уязвимость Linux раскрывает содержимое памяти ядра

В эту среду исследователи из группы Cisco Talos обнародовали сведения об уязвимости, «которая может позволить злоумышленнику просматривать память стека ядра».

Уязвимость, получившая идентификатор CVE-2020-28588, была обнаружена в функциях proc/pid/syscall 32-разрядных устройств ARM, работающих в Azure Sphere.

Используя её, хакеры могут прочитать ОС-файл /syscall через систему Proc, связывающую между собой структуры данных ядра Linux. Команды для вывода 24 байтов в неинициализированной стековой памяти приводят к обходу защиты рандомизацией адресного пространства ядра (KASLR).

Поскольку считывается законный файл системы Linux, такую атаку, во заявлению исследователей «невозможно обнаружить в сети удалённо».

«При правильном использовании атакующий может использовать эту утечку информации для успешной экспуатации других незакрытых уязвимостей Linux», – добавила Cisco.

Опасность такой атаки актуальна для версий ядра Linux 5.10-rc4, 5.4.66 и 5.9.8. Соответствующий патч был добавлен 3 декабря, и пользователям настоятельно рекомендуется обновить свои сборки до более поздних версий.

Ещё один инцидент с безопасностью Linux, получивший известность в этом месяце, связан с попыткой разработчиков из Университета Миннесоты (UMN) загрузить в проект ядра коммиты со специально заложенными в них уязвимостями.

То, что это делалось в рамках подготовки статьи «О возможности скрытого внедрения уязвимостей в ПО с открытым исходным кодом через лицемерные коммиты», не было посчитано уважительной причиной, и организация Linux Foundation отстранила сотрудников UMN от участия в дальнейшей работе над ядром Linux. Статья, заявленная на 42-й Симпозиум IEEE по безопасности и приватности, была в итоге отозвана.

InternetUA

https://internetua.com/

Новости по теме
Huawei делает собственную онлайн-игру

Huawei делает собственную онлайн-игру

Как сообщает ITHome, китайский технологический гигант Huawei в данный момент набирает разработчиков, которые имеют опыт создания многопользовательских онлайновых ролевых игр (MMORPG).

InternetUA

Мошенники под видом сабреддита WallStreetBets украли более $2 млн в криптовалюте.

Мошенники под видом сабреддита WallStreetBets украли более $2 млн в криптовалюте.

Злоумышленники, выдававшие себя за сообщество r/WallStreetBets на медиаплатформе Reddit, собрали как минимум 3451 BNB (более $2,2 млн по курсу на момент написания) и неназванную сумму в Ethereum с желающих получить токены WSB Finance «до листинга ...

InternetUA

Создатели S.T.A.L.K.E.R. 2 пообещали сотни часов игры

Создатели S.T.A.L.K.E.R. 2 пообещали сотни часов игры

Вчера мы узнали, что релиз S.T.A.L.K.E.R. 2 намечен на конец 2021 года, и первое время игра будет эксклюзивом для Xbox и ПК. Теперь PR-менеджер студии-разработчика игры GSC Game World Захар Бочаров рассказал, что S.T.A.L.K.E.R. 2 будет очень долгой.

InternetUA

Ливадийский дворец. Реставрация по-российски - Крымский вечер

Ливадийский дворец. Реставрация по-российски - Крымский вечер

Ливадийский дворец в ближайшее время ожидает полная реставрация. Об этом телеканалу «Миллет» сообщила подконтрольная России министр культуры Крыма Арина Новосельская. По ее словам, также реставрационные работы проведут на территории, прилегающей к...

ЧУ 2020/2021. УПЛ - Зоря - Минай - 1:0

ЧУ 2020/2021. УПЛ - Зоря - Минай - 1:0

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - Зоря - Минай - 1:0. 24 тур української прем'єр-ліги 2020/2021. До сих пор не подписаны на УНИАН в Telegram? RU - Заря - Минай - 1: 0. 24 тур украинской премьер-ли...

Как мыть руки, чтобы сберечь кожу?

Как мыть руки, чтобы сберечь кожу?

#новости​ #новостионлайн​ #новостиукраины #новини​ #свежиеновости​ #новостимира UA - На наших руках живе близько 840 тисяч різних мікроорганізмів! І, виявляється, мікроби більш люблять жіночі руки, ніж чоловічі. Причин для цього безліч: низька кис...

Визит Блинкена в Украину. Чего ожидать - Итоги 05.05.21

Визит Блинкена в Украину. Чего ожидать - Итоги 05.05.21

00:00 Смотрите в этом выпуске: 00:16 Незаконные вооружённые формирования обстреляли больницу для инфицированных коронавирусом в Красногоровке. 03:09 Пытки украинских военных в Донецке: генпрокуратура предъявила подозрения. 04:23 Задержанному в Кры...

Баста. Концерты в Киеве и скандал из-за Крыма - Доброе утро, Крым

Баста. Концерты в Киеве и скандал из-за Крыма - Доброе утро, Крым

Российский рэпер Баста (Василий Вакуленко), которому в 2017 году въезд в Украину был закрыт из-за концертов в аннексированном Крыму, намерен дать концерты в Киеве 25 и 26 июня 2021 года. Российский артист уже смог попасть в украинскую столицу, об ...

1

На трасі Одеса-Київ згорів автобус

На трасі Одеса-Київ згорів автобус

Підписуйтеся на канал: Читай всі закриті статті розділу НВ Преміум. Перший місяць 1 грн: Читайте наші новини: Слідкуйте у Facebook: та Instagram:

1 1