Hlavní navigace

Nový nástroj USBFuzz objevil 26 zranitelností USB napříč platformami

Sdílet

Petr Krčmář 28. 5. 2020
USB

Hui Peng a Mathias Payer objevili 26 zranitelností ovladačů USB v systémech Linux, macOS, Windows a FreeBSD. Použili k tomu vlastní nástroj USBFuzz, což je takzvaný fuzzer – utilita generující velké množství náhodných, neočekávaných a chybných dat. Odborníci poté zkoumali reakci jednotlivých systémů a objevili řadu problémů, z nichž některé mohou být zneužity.

Jedna chyba byla objevena va FreeBSD, tři v macOS (dvě způsobí reboot a jedna zamrznutí systému) a čtyři ve Windows 8 a 10 (způsobí BSOD). Nejvíce chyb bylo ale objeveno v Linuxu: celkem 18. V šestnácti případech šlo o špatnou práci s pamětí v různých subsystémech (USB core, USB sound a network), jedna chyba se nachází v hostitelském USB ovladači a poslední se týká ovladače pro USB kamery.

Chyby byly ohlášeny vývojářům a většina z nich už je v jádře záplatovaná. Další opravy jsou očekávány v blízké budoucnosti. Oba autoři mají v plánu zveřejnit všechny detaily zároveň se svou přednáškou na Usenix Security Symposium v srpnu letošního roku. Zároveň chtějí zveřejnit zdrojový kód svého nástroje USBFuzz.

Není to poprvé, co byly tímto způsobem objeveny chyby v USB. V roce 2017 jeden vývojář z Google takto odhalil 79 chyb v linuxovém jádře a využil k tomu nástroj syzkaller. Linus Torvalds tenkrát vyzval vývojáře, aby podobnými metodami testovali jádro co nejvíce, aby byly odhaleny další chyby.

Našli jste v článku chybu?

Žádné názory