(示意圖,與新聞事件無關)

以色列的新創資安業者Perception Point上周披露,Linux核心從2012年起就含有一零時差的本機權限擴張(local privilege escalation)漏洞,影響數千萬台的Linux電腦與Linux伺服器,並有66%的Android裝置受到波及,包含Android手機與Android平板電腦,業者已於本周展開修補。

Perception Point所提出的漏洞編號為CVE-2016-0728,是因鑰匙圈機制(keyrings facility)的參考資料外洩所造成,該機制是用來在Linux核心中保留或暫存各種安全數據、認證金鑰、加密金鑰或其他資料,可透過系統呼叫介面來管理及利用其中的物件。

Perception Point發現,此一鑰匙圈機制的漏洞將允許駭客取得最高權限以在核心中執行程式,影響Linux Kernel 3.8之後的版本,但目前尚未察覺任何針對該漏洞的攻擊程式,但也不確定是否曾遭到攻擊。

由於Linux核心為Linux平台的基礎,使得許多Linux版本與Android都受到波及,涵蓋紅帽Enterprise Linux、CentOS Linux、Scientific Linux、Debian Linux、SUSE Linux、Ubuntu Linux與Opensuse Linux,以及Android 4.4(KitKat)以後的版本。不過各家Linux業者已相繼在本周修補該漏洞。

Threat Post引述Perception Point執行長Yevgeny Pats的看法指出,駭客可取得最高權限是很糟糕的一件事,若無核心自動更新機制,這些Linux版本可能長期曝露在風險中。

Pats說明,該漏洞並不難處理,問題在於並非所有裝置上的Linux核心都能被自動修補,特別是Android裝置可能需要更長的時間才能完全修補。

根據Google的統計,可能受影響的Android 4.4以後版本,包括Android 4.4、5.0、5.1、6在內,合計將近佔7成Android裝置。


Advertisement

更多 iThome相關內容