Исследователи безопасности обнаружили новую брешь в ядре Linux, используя которую злоумышленник может выполнять команды с root-правами. Код, который эксплуатирует данная уязвимость, присутствует в большей части современных устройств на базе Android.

Впервые о бреши на прошлой неделе заявила израильская фирма Perception Point. Она привела POC-код для эксплуатации уязвимости, а также описала основные способы обезопасить систему.


Данная уязвимость существует с 2012 года и она затрагивает все версии ядра Linux, начиная с 3.8, а также Android KitKat 4.4 и более поздние версии платформы Google. При эксплуатации злоумышленник не только может выполнить любую команду, но также извлечь защищённые данные, в том числе ключи шифрования.

Red Hat, Canonical и ещё ряд компаний уже выпустили обновление безопасности для своих дистрибутивов, в которых устранили данную брешь. Обновление для Android также должно выйти в ближайшем месяце, однако многие устройства получают обновления не напрямую с серверов Google, а от операторов сотовой связи, и это вызовет существенную задержку распространения патча.

На момент публикации новости не было никаких сведений о том, что данная уязвимость используется для взлома систем хакерами или вирусописателями.

Че?

1001v, у нас это не очень распространено, но вообще крупные операторы связи при оформлении контракта предоставляют также мобильный телефон, и обновления для них распространяет именно оператор связи.

Вроде как контрактные в основном айфоны, для них сам эпл распространяет прошивки.

--Kalan--, Вы уж простите, но этой новости уже года 2, если не три. Например, гнусмас уже исправили это (видел как-то новость на 4пда).
1001v, речь идет о sprint, verizon и иже с ними. Около 60% серых айфонов были куплены таким способом для продажи в РФ. Там цена ниже розничной, но идет контракт, что ты пользуешься именно сим-картой данного оператора. Ну, а наши МТС и Билайн эту традицию только подхватывают (спустя лет пять).

RMS, и Вы меня простите, многоуважаемый сударь, но если вы соблаговолите изучить выше напечатанный текст (автором которого я не являюсь), то вы неприменимо заметите вот такую строку:

--Kalan--, я сам ньюсмейкер на трех сайтах, и работаю контент-менеджером на нескольких, нас учили _всю_ нужную информацию выводить непосредственно пользователю. У меня, к примеру, 3dnews ни в какую не хочет грузиться.