Уязвимость Dirty COW исправлена не до конца

Уязвимость Dirty COW исправлена не до конца

Уязвимость Dirty COW исправлена не до конца

Исследователи Bindecy утверждают, что печально известная уязвимость «Dirty COW» (CVE-2016-5195), обнаруженная в прошлом году в Linux, была не до конца устранена. Эксперты выяснили, что уязвимость обусловлена тем, как подсистема памяти ядра Linux обрабатывает разрывы памяти в режиме copy-on-write (COW). Эта ошибка могла позволить злоумышленнику повысить свои привилегии в системе.

Более того, эта брешь затрагивала и Android. Вскоре после этого Google выпустила патч, однако были разработаны новые атаки, использующие Dirty COW на системе Android.

Как утверждают эксперты Bindecy, никто не заметил, что предложенный патч не до конца устранял уязвимость Dirty COW. Исходная уязвимость повлияла на функцию get_user_pages, которая используется для получения физических страниц за виртуальными адресами в пользовательских процессах.

По словам исследователей, выпущенное исправление не уменьшает запрашиваемые разрешения.

«_user_pages теперь просто помнит тот факт, что мы прошли цикл COW», — объясняют специалисты.

Команда Bindecy обнаружила, что уязвимость все еще может быть использована, когда задействованы Transparent Huge Pages (THP) и Page Medium Directory (PMD).

Исследователи обнаружили, что код исправления Dirty COW, который имеет отношение к THP, содержит функцию can_follow_write_pmd, которая в основном применяет ту же логику can_follow_write_pte к большим страницам PMD.

То есть каждый раз, когда get_user_pages пытается получить большую страницу, эта страница не проходит цикл COW. Таким образом, нарушается логика can_follow_write_pmd, говорят исследователи.

«На данный момент использовать страницу достаточно просто — мы сначала разбиваем исходную страницу , а затем включаем грязный бит», — отмечает Bindecy.

Ранее мы также упоминали о том, что эксплойты для Android используют уязвимость Dirty COW.

GitHub, Apple и Google вернулись в Россию после часового сбоя

Сайты GitHub, Apple и Google снова открываются у пользователей в России. Сервисы были недоступны около часа, после чего соединение восстановилось без каких-либо официальных объяснений.

Проблемы начались примерно в 10:00 по московскому времени. GitHub не открывался с российских IP-адресов, не работал доступ к репозиториям и могли возникать сбои при выполнении Git-операций. При подключении через иностранные IP платформа продолжала работать штатно.

Перебои подтверждал сервис Detector404, отслеживающий пользовательские жалобы. Одновременно возникли трудности с доступом к официальным сайтам Apple и Google: страницы либо зависали на бесконечной загрузке, либо выдавали ошибку. Соединение устанавливалось с переменным успехом.

Теперь все три ресурса снова доступны. Таким образом, глобальные сервисы исчезли из российского сегмента интернета примерно на час, а затем так же внезапно вернулись.

 

Причина произошедшего остается неизвестной. GitHub, Apple и Google публично ситуацию не комментировали. Роскомнадзор также пока не сообщил, были ли перебои связаны с техническим сбоем, маршрутизацией или ограничениями доступа.

RSS: Новости на портале Anti-Malware.ru