Converse conosco
Carregador
Estabelecendo conexão, aguarde enquanto conectamos você.

EM BREVE: Pesquisa com foco no produto e navegação guiada para melhor acesso ao suporte ao produto. Obrigado pelo seu feedback e fique atento!

CVE-2019-2215: Use-After-Free na vulnerabilidade do driver de pasta

Zebra Lifeguard Android programa de segurança logo

Para mais informações, por favor, consulte:

Tem havido relatos de explorações ativas dessa vulnerabilidade. Zebra recomenda fortemente que os clientes apliquem atualizações para produtos zebra impactados para mitigar o risco de exploração.

A zebra leva a sério a segurança e recomenda que os clientes atualizem para o BSP mais recente e aceitem patches mensais para minimizar os riscos de segurança.

As atualizações serão lançadas em cada página de suporte do dispositivo à medida que forem lançadas.

O uso-após-livre na vulnerabilidade do driver de pasta é um bug de privilégio de kernel potencialmente afetando Dispositivos Zebra rodando o sistema operacional Android 8.1 (Oreo) . Outros sistemas operacionais não são afetados ou já abordaram a vulnerabilidade.

Conforme relatado por Maddie Stone da equipe de segurança do Android:

No compromisso upstream: "binder_poll() passa o thread->wait waitqueue que pode ser dormido para o trabalho. Quando um segmento que usa epoll sai explicitamente usando BINDER_THREAD_EXIT, a espera é liberada, mas nunca é removida da estrutura de dados epoll correspondente. Quando o processo sai posteriormente, o código de limpeza do epoll tenta acessar a lista de espera, o que resulta em um uso após o uso livre."

O controle do acesso ao kernel/raiz também pode levar a uma "cadeia de exploração", onde atores mal-intencionados usam façanhas adicionais para coletar informações do dispositivo.

Embora a vulnerabilidade seja classificada como alta, ela requer a instalação de um aplicativo comprometido para que a exploração ocorra. A Zebra incentiva os clientes a bloquear os recursos do dispositivo para evitar a instalação de aplicativos comprometidos.

Produtos de zebra impactados

Essas vulnerabilidades potencialmente impactam alguns computadores, tablets e quiosques móveis zebra executando o Oreo 8.1.

As atualizações estão programadas para estarem disponíveis para os produtos afetados da seguinte forma:

  • Produtos TC2x: 15 de novembro, 2019

  • Todos os outros produtos impactados: 29 de outubro, 2019

O download das atualizações podem serfeitos de páginas de suporte individuais nessa data.

Páginas de suporte para produtos impactados:

Computadores móveis

MC33 GMS | não GMS
MC3300R GMS | não GMS
MC9300 GMS | não GMS
PS20 todos
TC20 GMS | não GMS
TC25 GMS | não GMS
TC52 GMS | não GMS
TC57 GMS | não GMS
TC72 GMS | não GMS
TC77 GMS | não GMS
TC8300 GMS
VC8300 GMS

Quiosques

CC600/CC6000 GMS | não MS

Comprimidos

ET51 GMS | não GMS
ET56
GMS | não GMS
L10A GMS | não GMS (somente China)

Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.

Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.



Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?