据报道,研究人员近期发现Linux中存在严重安全漏洞,追踪为CVE-2019-17666,会导致附近使用 WiFi 信号的设备崩溃,且允许黑客完全掌控计算机。据悉该漏洞已存在至少四年,可追溯到Linux 内核的3.10.1版本。
图片来源于pixabay
安全研究人员Nico Waisman称,该漏洞是一个堆缓冲区溢出问题,源于Linux Rtlwifi上允许某些Realtek Wi-Fi模块与Linux操作系统进行通信的驱动程序中。由于通过5.3.6的Linux内核缺少某种上限检查,当具有 Realtek Wi-Fi芯片的计算机在恶意设备的无线电范围内时,该漏洞将会在Linux内核中触发缓冲区溢出问题。
图片来源于pixabay
Linux Rtlwifi位于P2P(Wifi-Direct)上,缺席通知(NoA)协议允许P2P GO宣布时间间隔,在此间隔中无论P2P客户端处于省电模式或活动模式,都不允许访问该频道。通过这种方式,P2P GO可自主决定其无线电断电,以节约能源。专家注意到驱动程序无法正确处理NoA的数据包,黑客可能会使用长度不正确的数据包来触发漏洞并导致系统崩溃,但只有在目标设备的无线电范围内时才能触发该漏洞。
图片来源于pixabay
截至目前,Linux内核团队已开发了一个正在修订的修复程序,尚未包含在Linux内核中。Waisman表示还未设计出一种概念,来验证利用该漏洞在受影响设备上执行恶意代码的攻击,但仍在探索。
来源:freebuf.com 2019-10-22 15:31:11 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册