研究人員揭露數十個Linux USB安全漏洞

USB CONNECTOR USB 連接器 USB Type A Connector

研究人員Andrey Konovalov在Openwall公布了14個Linux核心漏洞,這些漏洞嚴重者可造成阻斷服務攻擊,他在GitHub發表接近80個漏洞,可能導致權限擴張,所幸這些漏洞均需透過USB裝置發動攻擊。

Google安全研究人員Andrey Konovalov本周藉由Openwall公布了他在Linux核心(Linux kernel)所發現的14個USB子系統的安全漏洞,不過,這只是冰山一角,Konovalov透過Github所發表的相關漏洞數量其實接近80個。

Konovalov是利用他在Google的同事—Dmitry Vyukov所開發的模糊測試工具syzkaller找到上述漏洞。

透過Openwall披露的14個安全漏洞皆已取得漏洞編號,且全數皆可能造成阻斷服務攻擊,而Github上的眾多漏洞則可能帶來更嚴重的權限擴張或惡意程式執行等,但大部份連漏洞編號都沒有,也無修補程式。

值得慶幸的是,所有的相關漏洞都必須實際存取受害系統,插入惡意的USB裝置才能進行攻擊。

安全研究人員分析,市場對USB裝置的廣泛採用讓Linux核心必須支援各種USB驅動程式,而當中有不少驅動程式並未經過嚴格的檢驗,這也意謂著Linux社群應該進一步強化USB子系統的安全性,才能對抗邪惡的USB攻擊。

雅安科技

參考資料:https://www.ithome.com.tw/news/118144