БИЗНЕС-СЕТЬ KINETICS CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
       
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

01/08/2020

Найден способ взломать любую ОС Linux



Опасная уязвимость в загрузчике операционной системы GRUB2 под Linux позволяет злоумышленникам скомпрометировать процесс загрузки, даже если активна функция Secure Boot. Уязвимость получила название BootHole.

GRUB2 используется большинством дистрибутивов Linux. При эффективной эксплуатации BootHole (CVE-2020-10713) злоумышленник может установить в систему буткит - вредонос, загружаемый ещё до операционной системы, так что он будет функционировать с максимальными привилегиями, а обнаружение и удаление его станет крупной проблемой.

Уязвимость обусловлена некорректной обработкой внешнего файла настроек grub.cfg; это может приводить к переполнению буфера и, как следствие, возможности запуска произвольного кода в среде выполнения UEFI. Эксперты компании Eclypsium также отметили возможность запуска любого вредоносного ПО, возможности модифицировать ядро операционной системы и т.д.

Grub.cfg - это обычный текстовый файл, как правило, лишённый какой-либо защиты, в отличие от других компонентов загрузчика. Только у одного поставщика реализована проверка целостности цифровой подписи grub.cfg. В связи с этим исследователи полагают, что большинство современных систем на базе Linux - серверы, рабочие станции, ПК, IoT-устройства и эксплуатационное оборудование - уязвимы перед BootHole. Машины с многовариантной загрузкой - Windows/Linux - также уязвимы.

Единственное, что снижает критичность проблемы - необходимость административных привилегий для редактирования этого файла. Поэтому уязвимость BootHole получила оценку 8.2 балла.


<<< Назад


 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2020 Secutity Online. All rights reserved.