Inicia sesión


Vulnerabilidad Grave En Linux Parcheada

Un error de Linux permite hackear cualquier dispositivo Android superior a Kitkat
 
El 19 de enero 2016 se dio a conocer, que una vulnerabilidad en el kernel de Linux habia sido descubierta; dicha vulnerabilidad, puede permitirle a un usuario regular, escalar privilegios.
 
Un parche para un defecto del kernel Linux crítica, presente en el código desde 2012, se espera que sea llevado a cabo en la actualidad.

La vulnerabilidad afecta a las versiones 3.8 y superiores, dijeron los investigadores en el punto de inicio de la Percepción que descubrieron la vulnerabilidad. La falla se extiende también a las dos terceras partes de los dispositivos Android, agregó la compañía.

"Es bastante malo porque un usuario con privilegios legítimos o inferiores puede obtener acceso root y poner en peligro toda la máquina," Yevgeny Pats, cofundador y CEO de Punto Percepción. "Sin la actualización automática para el kernel, estas versiones podrían ser vulnerables durante mucho tiempo. Cada servidor Linux necesita ser parcheado tan pronto el parche está fuera ".

Pats dijo que un atacante requeriría acceso local para explotar la vulnerabilidad en el servidor Linux. Una aplicación móvil malicioso podría hacer el trabajo en un dispositivo Android (Kit-Kat y superior), dijo. Pats añadió que la explotación de la falla es bastante sencillo, pero no se sabe si ha sido atacado hasta la fecha.

"La solución era simple," dijo Pats. "El problema es que no todos los dispositivos Linux obtener parcheado automáticamente."

La vulnerabilidad, CVE-2016-0728, vive en las instalaciones de llavero incorporado en los diversos sabores de Linux. Los encripta keyring y almacena información de acceso, claves de cifrado y certificados, y los hace disponibles para las aplicaciones. En un informe publicado por la Percepción Point, los investigadores dijeron que la vulnerabilidad es una fuga de referencia que se puede abusar de ejecutar finalmente código en el kernel de Linux.

"Dan aplicaciones espaciales Usuario [llavero] la opción de administrar las claves de cifrado," dijo Pats. "El usuario no tiene que gestionar las claves; el OS lo hace por la aplicación. Aplicaciones usan por razones de seguridad. Cuando quieren Apps para trabajar con cripto, utilizan esta característica. La característica tiene acceso kernel; el sistema operativo da la aplicación de espacio de usuario la posibilidad de utilizar esta función. El problema es que el código se ejecuta en el kernel ".

Pats dijo que SMEP (Modo Supervisor de Protección de Ejecución) y SMAP (Supervicor Modo Access Protection) hacen difícil la explotación en servidores Linux, mientras que SELinux hace lo mismo para los dispositivos Android. SMEP y SMAP son relativamente nuevas características que impiden que el kernel de acceder y ejecutar código de espacio de usuario.

El defecto puede quedarse un poco más en los dispositivos Android, ya que la mayoría de las actualizaciones no son empujados automáticamente por transportistas y fabricantes. Android se basa en el kernel de Linux, pero modificado para requisitos particulares sin muchas de las bibliotecas que acompañan estándar de Linux se basa.

Percepción Point publicó un análisis técnico de la vulnerabilidad y la forma de explotarlo, incluyendo código de prueba de concepto publicada en su página de Github | Kaspersky Lab ZAO | Boletín de seguridad source.android.com | 


  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2016-01-26
  • Categorias: Noticias Tutorial Android Seguridad




Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!






Cómo rastrear a los usuarios de Adblock usando Google Analytics

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-11-15
  • Categorias: Google WebSite Trucos y tips Noticias Tutorial

Cómo eliminar a todos los usuarios de Twitter que estás siguiendo

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-11-15
  • Categorias: Google Chrome Redes Sociales Twitter Noticias Tutorial

Cómo escribir un poema

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-11-15
  • Categorias: Trucos y tips Noticias Tutorial

Curso de iniciación de JavaScript

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-10-21
  • Categorias: Lenguajes De Programacion javascript Cursos Noticias Tutorial

Cómo insertar código JavaScript

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-10-21
  • Categorias: Lenguajes De Programacion javascript Cursos Noticias Tutorial

Expresiones JavaScript para especificar valores de atributos en HTML

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-10-21
  • Categorias: Lenguajes De Programacion javascript Cursos Noticias Tutorial