该漏洞位于 RTLWIFI 驱动程序中,而该驱动程序用于在 Linux 设备上支持 Realtek WiFi 芯片。
作者/来源: 安华金和
一位安全研究人员表示,由于 Linux 中存在的严重安全漏洞能导致使用 WiFi 信号的附近设备崩溃,或者完全被黑客掌控。名叫 Nico Waisman 的安全研究人员发推文称,该漏洞位于 RTLWIFI 驱动程序中,而该驱动程序用于在 Linux 设备上支持 Realtek WiFi 芯片。
据悉当具有 Realtek Wi-Fi 芯片的计算机在恶意设备的无线电范围内时,该漏洞将会在 Linux 内核中触发缓冲区溢出问题。该漏洞不仅可以引起操作系统崩溃,而且还允许黑客完全掌控计算机。该缺陷可追溯到 2013 年发布的 Linux 内核的 3.10.1 版本。
GitHub 的首席安全工程师 Nico Waisman 表示:“这个漏洞非常严重,只要你使用 Realtek(RTLWIFI)驱动程序,此漏洞就可以通过 Linux 内核上的 Wi-Fi 远程触发溢出。”漏洞跟踪为 CVE-2019-17666。Linux开发人员在星期三提出了一个修复程序,很可能在未来几天或几周内将其合并到 OS 内核中。只有在此之后,该修补程序才能进入各种 Linux 发行版。
Waisman 表示目前还没有设计出一种概念验证攻击来利用该漏洞在受影响的设备上执行恶意代码。不过他表示:“我仍在试图探索,这肯定会......花一些时间(当然,这或许是不可能的)。在表面上,是应该被利用的溢出。坏的情况是,是拒绝服务;好的情况是,你得到了 shell。”
在该漏洞公开之后,该研究专家没有继续在推特上研究这个漏洞。
更多资讯
入侵 20 名开发者帐号就可能危及半数 NPM 生态系统
根据一项研究,NPM JS 库生态系统比大多数人想象的更相互交织。德国的研究人员分析了 NPM 生态系统的依赖图,他们下载了 2018 年 4 月前发布的所有 NPM JS 包的元数据,创建了一幅巨大的依赖图。
来源:http://solidot.org
详情链接:https://www.dbsec.cn/blog/article/5259.html
Apple TV 4K 机顶盒拆解有惊喜 以太网端口竟暗藏 Lighting 连接器
对 Apple TV 4K 展开的深入拆解表明,苹果竟然在这款流媒体机顶盒的以太网端口中,暗藏了一个 Lighting 端子。外媒猜测,该连接器可提供直接访问系统关键部件的途径。在 iFixit 2017 年对 Apple TV 4K 的拆解回顾中,Apple TV 硬件和 tvOS 专家 Kevin Bradley(Twitter 网名 nitoTV),在其 PCB 板上发现了与苹果 Lighting 连接器协议相对应的焊点。
来源:http://cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5260.html
Google Chrome 77 引入新的网站隔离安全特性
随着 Chrome 77 的发布,谷歌也为 Android 和桌面版本引入了全新的站点隔离安全特性。此前,当熔毁(Meltdown)和幽灵(Spectre)漏洞被披露的时候,谷歌就快速推出了这项安全特性,以便 Chrome 67 用户启用。开启之后,Chrome 浏览器将把用户访问的每个网站,都加载到单独的沙盒进程中,以限制其对资源和功能的访问。
来源:http://cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5261.html
内蒙古一中学学生信息泄露,警方调查竟发现被人倒卖!
今年以来,包头市第二十九中很多学生家长总是能接到多家教育机构的电话推销,这些教育机构是如何得知家长的个人信息的?警方侦查发现,这些教育机构都是通过微信购买的学生通讯录信息。
来源:内蒙古晨报
详情链接:https://www.dbsec.cn/blog/article/5261.html
(信息来源于网络,安华金和搜集整理)