وجود آسیب‌پذیری در کرنل لینوکس
دسترسی به داده های حساس sandbox برنامه‌ها
کد مطلب: 14958
تاریخ انتشار : چهارشنبه ۱۹ دی ۱۳۹۷ ساعت ۱۲:۵۶
 
کارشناسان امنیت سایبری دریافتند که امکان انتقال اطلاعات یک برنامه به برنامه دیگر با استفاده از کش سیستم‌عامل لینوکس وجود دارد.
دسترسی به داده های حساس sandbox برنامه‌ها
 
 
Share/Save/Bookmark
کارشناسان امنیت سایبری دریافتند که امکان انتقال اطلاعات یک برنامه به برنامه دیگر با استفاده از کش سیستم‌عامل لینوکس وجود دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروهی از کارشناسان امنیتی، روشی را کشف کردند که از طریق آن می‌توان با استفاده از کش سیستم‌عامل لینوکس، اطلاعاتی را از یک برنامه به برنامه‌ای دیگر منتقل کرد. یک مهاجم با بهره‌برداری موفق از این روش، می‌تواند به داده‌های حساس sandbox برنامه‌ها دسترسی یابد.

در محیط‌های لینوکسی به این نقص شناسه CVE-2019-5489 تخصیص داده شده‌است. این نقص برای مهاجم با دسترسی راه دور امکان دسترسی به فایل‌ها از طریق یک وب سرور Apache را فراهم می‌کند تا به داده‌های خصوصی دسترسی پیدا کند.

کرنل ویندوز نیز نسبت به این نقص آسیب‌پذیر است و وصله رسمی آن منتشر خواهدشد. آسیب‌پذیری در کرنل لینوکس در تابع mincore رفع شده‌است و پس از آزمایش آن به توزیع‌های لینوکس افزوده خواهدشد.

لینوس توروالدز، توسعه‌دهنده و معمار ارشد کرنل لینوکس، اعلام کرد که تابع آسیب‌پذیر mincore وضعیت کش سیستم را در معرض دسترسی قرار می‌دهد و در صورتی که وصله اعمال‌شده، تداخلی در برنامه توسعه‌دهندگان ایجاد کند توسعه‌دهندگان ممکن است نیاز به بازنگری کد برنامه خود داشته‌باشند.
مرجع : مرکز مدیریت راهبردی افتا