Noordwes-Universiteit se sekuriteitsnavorser en PhD-student Zhenpeng Lin het 'n ernstige kwesbaarheid ontdek wat die kern in androidtoestelle soos die Pixel 6-reeks of Galaxy S22. Die presiese besonderhede van hoe hierdie kwesbaarheid werk, is om veiligheidsredes nog nie vrygestel nie, maar die navorser beweer dat dit arbitrêre lees en skryf, voorregte-eskalasie, en die beskerming van Linux se SELinux-sekuriteitsfunksie kan deaktiveer.
foto Gallery
Zhenpeng Lin het 'n video op Twitter geplaas wat voorgee om te wys hoe die kwesbaarheid op die Pixel 6 Pro in staat was om wortel te kry en SELinux te deaktiveer. Met sulke instrumente kan 'n hacker baie skade aan 'n gekompromitteerde toestel aanrig.
Die nuutste Google Pixel 6 het 'n 0-dag in kern! Berei arbitrêre lees/skryf om voorreg te eskaleer en SELinux te deaktiveer sonder om beheervloei te kap. Die fout raak ook Pixel 6 Pro, ander pixels word nie geraak nie 🙂 pic.twitter.com/UsOI3ZbN3L
— Zhenpeng Lin (@Markak_) Julie 5, 2022
Volgens verskeie besonderhede wat in die video gewys word, kan hierdie aanval 'n soort geheuetoegangmisbruik gebruik om kwaadwillige aktiwiteite uit te voer, moontlik soos die onlangs ontdekte Vuilpyp-kwesbaarheid wat geraak het Galaxy S22, Pixel 6 en ander androidova-toestelle wat met die Linux-kernweergawe 5.8 van stapel gestuur is Androidu 12. Lin het ook gesê dat die nuwe kwesbaarheid alle fone raak wat Linux-kernweergawe 5.10 gebruik, wat die huidige Samsung-vlagskipreeks insluit.
Jy kan belangstel in
Google het verlede jaar $8,7 miljoen (ongeveer CZK 211,7 miljoen) aan belonings uitbetaal vir die ontdekking van foute in sy stelsel, en bied tans tot $250 6,1 (ongeveer CZK XNUMX miljoen) vir die vind van kwesbaarhede op kernvlak, wat blykbaar die geval is. . Nóg Google of Samsung het nog kommentaar gelewer oor die aangeleentheid, so dit is op hierdie stadium onduidelik wanneer die nuwe Linux-kernuitbuiting dalk reggemaak kan word. As gevolg van die manier waarop Google se sekuriteitsreëlings werk, is dit egter moontlik dat die betrokke pleister eers in September sal opdaag. Ons het dus geen ander keuse as om te wag nie.
