Meniu

Actualizarea Google Android si Apple iOS pentru vulnerabilitati critice Wi-Fi

Vulnerabilitatile CVE-2017-11120 si CVE-2017-11121 sunt vulnerabile la executare a codului la distanta (RCE) din driverul Broadcom Wi-Fi, utilizat de sistemele de operare Apple iOS si Google Android.

"Un atacator din raza de actiune ar putea sa execute un cod arbitrar pe cipul Wi-Fi", a avertizat Apple in avizul sau de securitate pentru vulnerabilitatile CVE-2017-11120 si CVE-2017-11121.

Apple a corelat cele doua probleme cu actualizarea iOS 11, in timp ce Google a inclus patch-urile ca parte a actualizarii Android din septembrie. Ambele probleme au fost raportate de cercetatorul de securitate Gal Beniamini de la Google Project Zero.

Beniamini nu este singurul cercetator de securitate care identifica vulnerabilitatile RCE critice in driver-ele Wi-Fi ale Broadcom. Nitay Artenstein, cercetator de securitate la Exodus Intelligence, a raportat un set de vulnerabilitati Broadcom RCE pe care la marcat ca fiind "Broadpwn"  si detaliate public in timpul unei sesiuni la conferinta de securitate Black Hat SUA in aceeasi luna.

In plus fata de CVE-2017-11120 si CVE-2017-11121 care influenteaza atat iOS cat si Android, Google se ocupa de o problema suplimentara critica Broadcom Wi-Fi RCE identificata ca CVE-2017-7065. In contrast, Apple a trtansmis  patch-uri pentru sapte probleme Wi-Fi suplimentare, care au fost raportate de Beniamini.

"Codul rau intentionat care executa pe cipul Wi-Fi ar putea sa execute un cod arbitrar cu privilegii de kernel pe procesorul de aplicatii", avertizeaza Apple in avizul sau pentru CVE-2017-7103, CVE-2017-7105, CVE-2017-7108, CVE-2017-7110, CVE-2017-7112 si CVE-2017-7115

Problema CVE-2017-7116 Wi-Fi raportata de Beniamini este putin diferita de celelalte, iar Apple a remarcat ca defectul ar fi permis executarea unui cod malware pe cipul Wi-Fi pentru a putea citi memoria kernelului.

FlorinM

Utilizator Linux - Solus OS, pasionat de calatorii.
  • | 2708 articole

Nici un comentariu inca. Fii primul!
  • powered by Verysign