我正在寻找有关 Linux 驱动程序和安全漏洞的更多信息。
当我监控漏洞警报时,我经常看到 Ubuntu 安全通知,如下所示: https://ubuntu.com/security/notices/USN-5544-1
人们发现Linux内核中的Atheros ath9k无线设备驱动程序没有正确处理某些错误情况,从而导致释放后使用漏洞。本地攻击者可能利用此问题造成拒绝服务(系统崩溃)或可能执行任意代码。 (CVE-2022-1679)
如果我的系统有 Atheros 无线设备,我认为我很容易受到攻击。如果我的系统没有 Atheros 无线设备怎么办?攻击者是否仍然可以与驱动程序软件交互并利用该漏洞?
另外,我如何查看攻击者可以访问哪些驱动程序?
谢谢你!
答案1
我们不知道。读取指定的 cve。不要假设,那里已经指定了。
但是,没有匹配的 atheros 卡的系统不太可能加载 ath9k 驱动程序,因此不清楚您建议应该利用什么。
一般来说,作为最终用户,阅读这些安全公告是毫无意义的。无论如何,最终用户所能做的就是保持系统最新。因此启用安全更新是最终用户应该做的。让他们接触这样的列表会给他们带来不必要的恐慌:
“没有正确处理某些错误条件,导致释放后使用漏洞”实际上并没有指定哪种错误条件,在哪种外部条件下可能发生,以及本地攻击者需要什么样的控制。另外,您能否准确解释一下驱动程序中的释放后使用漏洞允许攻击者在这里执行什么操作?它只说一些内存在释放后被使用(如果你能解释这意味着什么,那就太好了 - 如果你可以的话,你远远高于平均最终用户)。没有提供任何关于系统的其余部分是否可以被修饰以执行比使驱动程序崩溃更邪恶的事情的信息!
您需要了解 cve 才能对这是否对您产生影响做出合格的评估!例如,该漏洞仅是本地用户,即已在您的计算机上运行的某些程序(可能是您的用户,哪个其他用户会执行不可信的软件?)可能会导致您的无线驱动程序崩溃。不好了!对于带有无线卡的设备来说,这是多么可怕的场景,它可能不是拥有数百个用户的公共服务器!相比之下,该程序在没有该漏洞的情况下做它允许做的事情,并将您的数据潜入互联网。
(真正的危险在于,这会被某些服务器守护进程利用,该守护进程本身存在一个漏洞,允许远程攻击者控制该守护进程的行为,并且不会使驱动程序崩溃,而是会提升守护进程的权限。但这需要一个易受攻击的守护进程,并且这个错误的实际权限升级利用,目前仍然是推测性的,但在 Ubuntu 安全公告中与崩溃一样有可能出现,即,您不应该从简短的描述中推断出任何内容,您将始终必须去无论它发布在哪里,请阅读完整的原始描述,就像我刚才所做的那样,根据 Ubuntu,优先级是“中”,这绝对意味着“最终用户不需要采取紧急行动”。)