Andrey Konovalov un investigador de seguridad de Google publicó hace poco un informe sobre la identificación de 15 vulnerabilidades (CVE-2019-19523 – CVE-2019-19537) en los controladores USB que se ofrecen en el kernel de Linux. En este nuevo informe de Andrey Konovalov, la lista incluye solo vulnerabilidades causadas por el acceso a áreas de memoria ya liberadas (use-after-free) o que conducen a la fuga de datos de la memoria del kernel.
Los problemas que pueden usarse para la denegación de servicio no se incluyen en el informe. Las vulnerabilidades podrían explotarse potencialmente cuando se conectan dispositivos USB especialmente preparados a una computadora. Las correcciones para todos los problemas mencionados en el informe ya están incluidas en el núcleo, pero algunos errores que no están incluidos en el informe aún no están corregidos.
Más errores en los controladores USB del kernel de Linux que pueden activarse por un dispositivo USB malicioso externo fueron encontrados con syzkaller… Todos estos errores se han corregido en sentido ascendente (pero muchos otros errores de syzbot USB todavía no están corregidos).
Las vulnerabilidades más peligrosas de usar después de liberar que podrían conducir a la ejecución de código de ataque se han corregido en los controladores adutux, ff-memless, ieee802154, pn533, hiddev, iowarrior, mcba_usb y yurex.
De momento los problemas que siguen sin corregirse que ya fueron dados a conocer ya hace varios dias en las distribuciones (Debian, Ubuntu, Fedora, RHEL, SUSE) ya se encuentran trabajando en corregir los errores. Aun que ya se ha propuesto un parche para su inclusión en el Kernel de Linux para las próximas versiones.
Si quieres conocer más al respecto sobre los errores encontrados, puedes consultar la publicación original
https://www.openwall.com/lists/oss-security/2019/12/03/4
Fuente : linuxadictos
- Visto: 1111
