関連記事
Linuxカーネル3.8以降にローカルでの特権昇格を可能にするゼロデイ脆弱性
記事提供元:スラド
headless 曰く、 Linuxカーネルに3年以上前から存在する、ローカルでの特権昇格が可能となるゼロデイ脆弱性CVE-2016-0728が発見された(Perception Pointのブログ記事、Softpedia、Threatpost、Computerworld)。
この脆弱性は認証データなどをカーネル内に保持/キャッシュする鍵保存サービスで「keyring」オブジェクトの処理にバグがあり、use-after-free攻撃が可能になるというもの。この脆弱性は2012年から存在し、Linuxカーネル3.8以降を使用するLinux PCや、KitKat以降のAndroidデバイスが影響を受ける。ただし、SMEP/SMAP/SELinuxが有効になっている場合、不可能ではないものの悪用は困難になるという。
なお、現在のところ実際に悪用されたケースは確認されていないとのことだ。各Linuxディストリビューションではパッチが今週リリースされる模様。
スラドのコメントを読む | ITセクション | Linux | セキュリティ | バグ
関連ストーリー:
LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」 2016年01月21日
OpenSSH 5.4~7.1p1に脆弱性、「Roaming」機能で問題が見つかる 2016年01月18日
Gatekeeperの脆弱性に対するAppleの修正、根本的な修正はされていなかったことが判明 2016年01月17日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク