کمیته رکن چهارم – یک آسیب پذیری جدی در هسته لینوکس، مهاجمان را قادر به کنترل کامل کامپیوترهای با سیستم عامل لینوکس و بخش اعظم گوشی های اندرویدی می کند.
به گزارش کمیته رکن چهارم،این باگ امنیتی مربوط به قابلیت Keyring است که به برنامه های اجرا شده توسط کاربر اجازه اجرای کد در هسته را می دهد. در نتیجه آن، یک مهاجم که با یک کاربر با حق دسترسی حتی محدود به یک سیستم تحت لینوکس متصل شده است می تواند با ارتقای حق دسترسی خود اقدام به اجرای کد مخرب در هسته سیستم عامل کند.
هسته لینوکس بخش اصلی تمامی سسیستم های عامل مبتنی بر لینوکس از جمله اندروید است. هدف از قابلیت Keyring فراهم نمودن راهی برای ذخیره داده های حساس همچون اطلاعات اصالت سنجی و کلیدهای رمزنگاری در هسته سیستم عامل است؛ بنحوی که برای سایر برنامه ها قابل دسترسی نباشد.
به گزارش شرکت مهندسی شبکه گستر به نقل از سایت Network World، اکنون محققان راهی را یافته اند که از طریق آن می توان کدی مخرب را در بخش تخصیص داده شده به یک برنامه برای استفاده از قابلیت Keyring اجرا کرد.
به گفته این محققان این ضعف امنیتی از نسخه ۳٫۸ هسته لینوکس که در فوریه ۲۰۱۳ عرضه شد وجود داشته و بنابراین اکثر دستگاه های با سیستم عامل نهفته (Embedded) که در طی این سه سال عرضه شده اند آسیب پذیر تلقی می شوند. ضمن اینکه نسخه های ۴٫۴ به بعد اندروید نیز آسیب پذیر محسوب می شوند.
برخی توزیع کنندگان لینوکس اقدام به عرضه اصلاحیه برای ترمیم این ضعف امنیتی با شناسه CVE-2016-0728 کرده اند. انتظار می رود توزیع کنندگان دیگر نیز به زودی اصلاحیه لازم را در دسترس قرار دهند.
با توجه به غیر فعال بودن بخش به روز رسانی خودکار در بسیاری از دستگاه های مبتنی بر لینوکس، دستی بودن ارتقا در اکثر سامانه های نهفته و تاخیر سازندگان گوشی های همراه اندرویدی در اعمال اصلاحیه های عرضه شده توسط گوگل احتمالاً بسیاری از دستگاه ها برای مدتها آسیب پذیر باقی خواهند ماند.
هر چند که محققان کاشف این ضعف اعلام کرده اند که شواهدی مبنی بر سوءاستفاده از آن نیافته اند اما به تمامی مدیران شبکه و کاربران توصیه می شود بمحض عرضه اصلاحیه مربوطه اقدام به نصب آن کنند.
منبع:رسانه خبری امنیت اطلاعات
