パスワードを忘れた? アカウント作成
12658395 submission
バグ

Linuxカーネル3.8以降にローカルでの特権昇格を可能にするゼロデイ脆弱性

タレコミ by headless
headless 曰く、
Linuxカーネルに3年以上前から存在する、ローカルでの特権昇格が可能となるゼロデイ脆弱性CVE-2016-0728が発見された(Perception Pointのブログ記事Softpediaの記事Threatpostの記事Computerworldの記事)。

この脆弱性は認証データなどをカーネル内に保持/キャッシュする鍵保存サービスで「keyring」オブジェクトの処理にバグがあり、use-after-free攻撃が可能になるというもの。この脆弱性は2012年から存在し、Linuxカーネル3.8以降を使用するLinux PCや、KitKat以降のAndroidデバイスが影響を受ける。ただし、SMEP/SMAP/SELinuxが有効になっている場合、不可能ではないものの悪用は困難になるという。なお、現在のところ実際に悪用されたケースは確認されていないとのことだ。Linuxの各ディストロではパッチが今週リリースされる模様。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...