Panaliti kaamanan sareng mahasiswa PhD di Northwestern University, Zhenpeng Lin, mendakan kerentanan serius anu mangaruhan kernel dina androidalat sapertos séri Pixel 6 atanapi Galaxy S22. Rincian pasti ngeunaan kumaha kerentanan ieu jalanna henteu acan dileupaskeun pikeun alesan kaamanan, tapi panalungtik nyatakeun yén éta tiasa ngamungkinkeun maca sareng nyerat sawenang-wenang, eskalasi hak istimewa, sareng nganonaktipkeun panyalindungan fitur kaamanan SELinux Linux.
galeri poto
Zhenpeng Lin masangkeun pidéo dina Twitter anu nunjukkeun kumaha kerentanan dina Pixel 6 Pro tiasa nampi akar sareng nganonaktipkeun SELinux. Kalayan alat sapertos kitu, hacker tiasa nyababkeun seueur karusakan kana alat anu dikompromi.
Google Pixel 6 pang anyarna didamel nganggo kernel 0 dinten! Kahontal maca / nyerat sawenang pikeun ningkatkeun hak husus sareng nganonaktipkeun SELinux tanpa ngabajak aliran kontrol. Bug éta ogé mangaruhan Pixel 6 Pro, Pixel sanés henteu kapangaruhan 🙂 pic.twitter.com/UsOI3ZbN3L
— Zhenpeng Lin (@Markak_) Juli 5, 2022
Numutkeun sababaraha rinci anu dipidangkeun dina pidéo, serangan ieu tiasa nganggo sababaraha jinis panyalahgunaan aksés mémori pikeun ngalakukeun kagiatan jahat, berpotensi sapertos kerentanan Dirty Pipe anu nembe kapanggih anu mangaruhan. Galaxy S22, Pixel 6 sareng anu sanésna androidalat ova anu diluncurkeun sareng versi kernel Linux 5.8 on Androidu 12. Lin ogé ngomong yén kerentanan anyar mangaruhan sakabeh telepon ngajalankeun Linux Ubuntu versi kernel 5.10, nu ngawengku runtuyan andalannya Samsung ayeuna disebutkeun.
Anjeun tiasa museurkeun
Taun ka tukang, Google mayar $ 8,7 juta (kira-kira CZK 211,7 juta) dina ganjaran pikeun mendakan bug dina sistemna, sareng ayeuna nawiskeun dugi ka $ 250 (kira-kira CZK 6,1 juta) pikeun mendakan kerentanan dina tingkat kernel, anu katingalina kieu. . Sanes Google atanapi Samsung henteu acan masihan koméntar kana masalah éta, janten henteu écés dina waktos ieu nalika eksploitasi kernel Linux énggal tiasa ditambal. Nanging, kusabab cara patch kaamanan Google tiasa dianggo, kamungkinan patch anu relevan moal dugi ka Séptémber. Janten urang teu gaduh pilihan tapi ngantosan.
