پس از شناسایی يک آسيبپذيری جدي توسط GOOGLE PROJECT ZERO در هسته لينوکس، تیم توسعهدهنده آن را رفع کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Google Project Zero جزییاتی را در مورد یک آسیبپذیری بسیار شدید use-after-free در هسته لینوکس منتشر کرد که بهعنوان CVE-2018-17182 ردیابی شدهاست. این آسیبپذیری از نسخه ۳.۱۶ که در ماه آگوست سال ۲۰۱۴ معرفی شد تا نسخه ۴.۱۸.۸ هسته لینوکس وجود دارد.
این نقص میتواند توسط یک مهاجم مورد سوءاستفاده قرار گیرد و باعث ایجاد یک حمله DoS یا اجرای کد دلخواه با امتیازات ریشه در سیستم آسیبپذیر شود.
تيم توسعهدهنده هسته لينوکس، دو روز پس از دريافت گزارش اين نقص آن را در روز ۱۲ سپتامبر، رفع کردند. پژوهشگران کد اثبات مفهومی (PoC) را برای اين آسيبپذيری ارائه دادند و اعلام کردند که برای استفاده از اين نقص نياز به زمان بالايی است و فرايندهايی که منجر به اين آسيبپذيری میشوند لازم است مدتزمانی طولانی اجرا شوند.
در حال حاضر این مشکل در نسخههای ۴.۱۴.۷۱،۴.۹.۱۲۸، ۴.۴.۱۵۷ ، ۴.۱۸.۹ و ۳.۱۶.۵۸ رفع شدهاست.
این احتمال وجود دارد که فعالان تهدید در تلاش برای سوءاستفاده از این آسیبپذیری باشند. یکی دیگر از نگرانیها این است که برخی توزیعهای اصلی لینوکس ازجمله Debian و Ubuntu بهعلت منتشر نکردن بهروزرسانیهای موردنیاز، کاربران خود را در معرض حملات احتمالی قرار میدهند.
این سوءاستفاده، اهمیت پیکربندی یک هسته امن را نشان میدهد. تنظیمات خاصی مانند kernel.dmesg_restrict sysctl میتواند برای این منظور مفید باشند.