DVI

Четвер, 25.05.2017, 06.01.11
Головна » 2016 » Листопад » 10 » Google проігнорувала серйозну уразливість в плановому листопадовому оновленні безпеки Android, але випустила окремий патч для Nexus і Pixel
10.00.54
Google проігнорувала серйозну уразливість в плановому листопадовому оновленні безпеки Android, але випустила окремий патч для Nexus і Pixel

      Днями вийшло листопадове оновлення безпеки для операційної системи Android, в якому усунуті 15 критичних вразливостей. Однак воно не закриває серйозну пробоїну в ядрі Linux, за допомогою якої зловмисники (за певних умов) можуть швидко отримати повний контроль над пристроями, що працюють під управлінням мобільної ОС Google.

В даному випадку мова йде про уразливість з ідентифікатором CVE-2016-5195, більш відомої під кодовим позначенням Dirty COW (так як стосується механізму копіювання при записі - Copy-On-Write, COW), виявленої в минулому місяці дослідником з безпеки Філом Остером. Вважається, що дана уразливість існувала в ядрі Linux з 2007 року.

Справедливості заради відзначимо, що одночасно з набором оновлень безпеки за листопад Google випустила окремий патч з виправленням Dirty COW для пристроїв Nexus і Pixel. Крім того, компанія Samsung випустила відповідний патч для власних пристроїв, пише Threatpost. У той же час офіційне оновлення Android для всіх, в якому буде усунена уразливість Dirty COW, вийде тільки в грудні.

Філ Остер, який знайшов уразливість Dirty COW, сказав ресурсу V3, що вона «проста у використанні, завжди приносить гарантований успіх і існує вже кілька років». У той же час Dirty COW є вкрай гострою, завдяки чому їй вдавалося роками ховатися від досвідченого ока дослідників. Щоб зловити цього «звіра» Остер використовував спеціальну методику. Він перехопив весь вхідний трафік HTTP, зміг витягти звідти експлоїта, а потім як слід дослідити його в пісочниці.

«Наполегливо рекомендую всім системним адміністратор вжити додаткових заходів безпеки [націлені проти Dirty COW]», - сказав Філ Остер.

Джерело: Engadget
Переглядів: 204 | Додав: dvi | Рейтинг: 0.0/0
Всього коментарів: 0
Ім'я *:
Email:
WWW:
Код *: