安基網 首頁 資訊 安全報 查看內容

科學家發現26個USB漏洞:Linux有18個 Windows有4個

2020-5-29 12:12| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日多名學術界人士表示,在Linux、macOS、Windows和FreeBSD等操作系統所使用的USB驅動堆棧中發現了26個新的漏洞。這支科研團隊由普渡大學的Hui Peng、瑞士聯邦理工學院洛桑分校的Mathias Payer帶領,所有漏洞都是通過他們創建的新工具USBFuzz發現的。圖片來自于 WiKiMedia這類工具被團隊成員稱之為“ ...

近日多名學術界人士表示,在Linux、macOS、Windows和FreeBSD等操作系統所使用的USB驅動堆棧中發現了26個新的漏洞。這支科研團隊由普渡大學的Hui Peng、瑞士聯邦理工學院洛桑分校的Mathias Payer帶領,所有漏洞都是通過他們創建的新工具USBFuzz發現的。

圖片來自于 WiKiMedia

這類工具被團隊成員稱之為“模糊器”(fuzzer)。模糊器是多款應用程序的集合,能夠幫助安全研究人員將大量無效、意外或者隨機數據輸入其他應用程序。然后,安全研究人員分析被測試軟件的行為方式,以發現新的bug,其中一些可能被惡意利用。

為了測試USB驅動,Peng和Payer共同開發了USBFuzz,這是一種專門用于測試現代操作系統的USB驅動堆棧的新型模糊器。研究人員表示:“其核心部分,USBFuzz使用軟件仿真的USB設備來向驅動程序提供隨機的設備數據(當他們執行IO操作時)!

團隊表示:“由于仿真的USB設備是在設備層面工作的,因此將其移植到其他平臺上是很直接的!边@使得研究團隊不僅可以在Linux上測試USBFuzz,還可以在其他操作系統上進行測試。

研究人員表示,他們在以下平臺上測試了USBFuzz。

● Linux內核的9個最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(評估時的最新版本)。

● FreeBSD 12 (最新版本)

● MacOS 10.15 Catalina(最新版本)

● Windows(8和10版本,并安裝了最新的安全更新)

在測試之后,研究團隊表示,在USBFuzz的幫助下,他們一共發現了26個新的bug。

研究人員在FreeBSD中發現了一個bug,在MacOS中發現了三個(兩個導致計劃外重啟,一個導致系統凍結),在Windows 8和Windows 10中發現了四個(導致死亡藍屏)。

最嚴重的是針對Linux的,總共有18個。其中16個是針對Linux各個子系統(USB core, USB sound和net-work)的高危內存漏洞,此外還有1個是針對Linux的USB

host主控驅動,還有一個是USB攝像頭驅動。

Peng和Payer表示,他們向Linux內核團隊報告了這些bug,并提出了補丁建議,以減輕 "內核開發人員在修復報告的漏洞時的負擔"。

研究團隊表示,在這18個Linux漏洞中,有11個自去年首次報告以來,他們收到了補丁。在這11個bug中,有10個還收到了CVE,這是一個被分配給重大安全漏洞的唯一代碼。

相關論文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》,可以訪問這里和這里.



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6831711718234653197/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 彩无敌免费计划软件 什么是p2p投资理财平台 今天快三开奖结果出来 15选5 复式投注查对表 股票分析师简介 双相码 pk10开奖视频 平码公式 炒股怎样融资·杨方配资开户 秒速时时彩app下载