昨天编程学习网提到有研究人员发现Linux Kernel中出现的高危安全漏洞,该漏洞与2016年出现的高危漏洞脏奶牛(Dirty Cow)类似,因此被命名为脏管道(Dirty Pipe),漏洞编号为CVE-2022-0847。
安全研究员Max Kellermann已经负责的向Linux Kernel维护团队提交漏洞细节,同时公布PoC即概念验证,目前Linux Kernel团队在5.16.11/5.15.25/5.10.102中修复漏洞,其他分支的版本暂时还需要等待修复。
利用漏洞恶意软件可以成功从普通权限提升到root权限,利用难度上虽然要比脏奶牛大,但想要获取root权限并非难事,因此该漏洞的危害程度也非常高。
安卓系统同样受漏洞影响:
昨天推送消息后就收到大量用户的咨询,利用此漏洞岂不是很容易就可以将安卓手机root?emmm…理论上说是的,对于root工具开发商来说借助该漏洞想要root系统应该是可以实现的。不过就目前来说root似乎已经变成小众玩家的选择,因此是否有开发商愿意研究漏洞发布root工具还是个未知情况。
然而,root工具开发商能利用漏洞也意味着黑客也能利用漏洞,事实上黑客确实可以通过恶意软件并借助漏洞获取root权限,一旦恶意软件获得root权限那接下来就可以为所欲为了。
用户还在手里的手机会变成肉鸡,黑客完全可以远程操作,包括但不限于窃取通讯录、短信、通话记录、相册、发送扣费短信、开启摄像头和麦克风进行监听、安装各种垃圾软件等等,所以从安全角度来说这对全球数以亿计的安卓用户来说是很大的威胁。
谷歌正在为安卓准备修复程序:
有研究人员在谷歌亲儿子Pixel 6上成功复现错误,也就是Google Pixel 6也可以借助此漏洞进行root。研究人员将问题提交给谷歌后获得答复,谷歌称该公司正在准备修复程序,待完成开发后会将其合并到Android内核中。
待合并修复程序后所有OEM制造商只需要在未来发布的更新中升级内核即可封堵该漏洞,当然对用户来说最大的问题是OEM制造商会不会发布更新以及什么时候发布更新。
大量稍微旧些的安卓设备都已经无法获得安全更新,通常OEM制造商只是会旗舰机和较新的设备发布更新,所以这旧设备的安全性会有严重的影响。
在这里再次提醒使用Linux桌面版或Linux服务器的用户,请尽快升级内核,预计黑客们很快就会利用此漏洞展开攻击。
扫码二维码 获取免费视频学习资料
- 本文固定链接: http://phpxs.com/post/9118/
- 转载请注明:转载必须在正文中标注并保留原文链接
- 扫码: 扫上方二维码获取免费视频资料