Обнаружена root-уязвимость в реализации сокетов AF_PACKET в ядре Linux

Обнаружена root-уязвимость в реализации сокетов AF_PACKET в ядре Linux

Обнаружена root-уязвимость в реализации сокетов AF_PACKET в ядре Linux

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали технику эксплуатации уязвимости (CVE-2017-7308) в ядре Linux.

Она позволяет поднять свои привилегии в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET.

Уязвимость проявляется в ядрах до 4.10.6 при включении сокетов AF_PACKET с поддержкой кольцевых буферов TPACKET_V3 ( "CONFIG_PACKET=y", в большинстве дистрибутивов включены по умолчанию). Проблема была выявлена в результате fuzzing-тестирования системных вызовов ядра Linux. Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP, пишет opennet.ru.

Уязвимость вызвана целочисленным переполнением в функции packet_set_ring() для сокетов AF_PACKET. Примечательно, что это вторая уязвимость в packet_set_ring() за последнее время, похожая проблема (CVE-2016-8655) была выявлена в конце прошлого года. Для атаки злоумышленник должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace), которые включёны по умолчанию.

В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад. Red Hat Enterprise Linux 5/6 и SUSE 11, проблеме не подвержены, а в RHEL 7 и Debian для эксплуатации требуется явное предоставление полномочий CAP_NET_RAW. В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сообщения в iOS 26 отключают ссылки и ответы в спам-сообщениях

Даже продвинутые пользователи могут попасться на хорошо подготовленную фишинговую СМС. Но большинство таких атак всё же рассчитано на менее техничных людей. Именно для них в iOS 26 появилось кое-что важное в приложении «Сообщения».

Теперь все сообщения в Messages будут разбиты на категории: «Сообщения», «Неизвестные отправители», «Спам» и «Недавно удалённые».

Основной экран показывает переписки с контактами, СМС с кодами подтверждения и, например, брони. А вот сообщения от незнакомцев или спам — отдельно и без уведомлений.

Источник: 9to5mac

 

Фильтры можно включать и отключать вручную через «Управление фильтрами» в верхнем правом углу. Сообщения от неизвестных отправителей можно пометить как доверенные, а подозрительные — наоборот, вернуть в основной список и отметить как «не спам», если система ошиблась.

Но самое интересное начинается в папке «Спам». Apple вводит два ограничения, которые серьёзно усложнят жизнь фишерам:

  1. Ссылки отключены. Всё, что выглядит как номер телефона или URL, больше нельзя будет просто так тапнуть. Это поможет не позвонить случайно в мошеннический кол-центр и не попасть на вредоносный сайт.
  2. Ответить на такие сообщения тоже нельзя. Если пользователь всё же захочет вступить в переписку, нужно будет вручную переместить сообщение из «Спама» в основной список. Казалось бы, мелочь, но именно такая «лишняя кнопка» может спасти от импульсивного ответа мошеннику.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru