گزارش یک نقص جدید
موبنا – در گزارش منتشره توسط گروه Google Project Zero جزئیاتی از آسیبپذیری use-after-free با شناسه CVE-۲۰۱۸-۱۷۱۱۹۲ در کرنل لینوکس ارائه شده است.
تیم توسعهدهنده کرنل لینوکس پس از دریافت گزارش این نقص، آن را بعد از دو روز حل کردهاند.
پژوهشگران کد اثبات مفهومی (PoC) برای این آسیبپذیری ارائه داده و اعلام کردهاند که برای استفاده از این نقص نیاز به زمان بالایی است و فرایندهایی که منجر به این آسیبپذیری میشوند، لازم است مدت زمان طولانی اجرا شوند.
اما پژوهشگران اخیرا هشدار دادهاند که احتمال این وجود دارد که مهاجمان در تلاش برای استفاده از این آسیبپذیری باشند و نگرانی از اینجا ناشی میشود که توسعهدهندگان توزیعهای لینوکس بهروزرسانیهای کرنل را خیلی سریع ارایه نمیدهند که این امر میتواند کاربران را در معرض حمله قرار دهد. از این رو پیکربندی یک کرنل امن از اهمیت ویژهای برخوردار است و برخی تنظیمات نظیر kernel.dmesg_restrict میتواند مفید باشد.
درحال حاضر در نسخههای ۴,۱۸.۹، ۴.۱۴.۷۱، ۴.۹.۱۲۸، ۴.۴.۱۵۷ و ۳.۱۶.۵۸ این نقص برطرف شده است.
منبع: ایسنا