Discutez avec nous
Chargeur
Établissement de la connexion, veuillez patienter pendant que nous vous connectons.

BIENTÔT DISPONIBLE : Recherche axée sur le produit et navigation guidée pour un meilleur accès à l'assistance produit. Merci pour vos commentaires et restez connecté !

CVE-2019-2215: Utilisation-Après-Libre dans la vulnérabilité du driver Binder

Logo du programme de sécurité Android Zebra Lifeguard

Pour plus d'informations, veuillez consulter :

Il y a eu des rapports d'exploits actifs de cette vulnérabilité. Zebra recommande fortement aux clients d'appliquer des mises à jour pour les produits Zebra touchés afin d'atténuer le risque d'exploitation.

Zebra prend la sécurité au sérieux et recommande aux clients de mettre à jour le dernier BSP et d'accepter les correctifs mensuels pour minimiser les risques de sécurité.

Les mises à jour seront affichées sur chaque page de support de l'appareil au fur et à mesure de leur publication.

La vulnérabilité du driver de liant sans utilisation après l'utilisation libre est un bogue de privilège de noyau affectant potentiellement les appareils zebra exécutant le système d'exploitation Android 8.1 (Oreo). D'autres systèmes d'exploitation ne sont pas touchés ou ont déjà abordé la vulnérabilité.

Comme indiqué par Maddie Stone de l'équipe de sécurité Android:

Dans le commit en amont: "binder-poll() passe le fil --gt;waitqueue qui peut être dormi pour le travail. Lorsqu'un thread qui utilise epoll sort explicitement à l'aide de BINDER-THREAD-EXIT, la file d'attente est libérée, mais elle n'est jamais supprimée de la structure de données epoll correspondante. Lorsque le processus sort par la suite, le code de nettoyage de l'epoll tente d'accéder à la liste d'attente, ce qui se traduit par une utilisation après libre.

Le contrôle de l'accès au noyau/racine peut également conduire à une « chaîne d'exploitation », où les acteurs malveillants utilisent des exploits supplémentaires pour collecter des informations à partir de l'appareil.

Bien que la vulnérabilité soit évaluée élevée, elle nécessite l'installation d'une application compromise pour qu'elle se produise. Zebra encourage les clients à verrouiller les capacités de l'appareil pour empêcher l'installation d'applications compromises.

Produits Zebra touchés

Ces vulnérabilités peuvent avoir un impact sur certains les ordinateurs mobiles, tablettes et kiosques Zebra fonctionnant à Oreo 8.1.

Les mises à jour sont prévues pour être disponibles pour les produits concernés comme suit:

  • produits TC2x : 15 novembre 2019

  • Tous les autres produits touchés : 29 et 2019 octobre

Les mises à jour peuvent être téléchargées à partir de pages de support individuelles à cette date.

Pages de prise en charge des produits impactés :

Ordinateurs mobiles

MC33  GMS | Non-GMS
MC3300R  GMS | Non-GMS
MC9300 GMS | Non-GMS
PS20 Tout
TC20 GMS | Non-GMS
TC25 GMS | Non-GMS
TC52 GMS | Non-GMS
TC57 GMS | Non-GMS
TC72 GMS | Non-GMS
TC77 GMS | Non-GMS
TC8300 GMS
VC8300 GMS

Kiosques

CC600/CC6000 GMS | Non-GMS

Comprimés

ET51 GMS | Non-GMS
ET56 
GMS | Non-GMS
L10A GMS | Non-GMS (Chine uniquement)

Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.

Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.



Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?