Les chercheurs de Check Point ont récemment pris le temps d'examiner le noyau Linux, et plus spécifiquement, ils se sont penchés sur les pilotes essayant de rouler leur propre utilisation de la fonction mmap ().
Comment le CVE-2018-8781 a-t-il été découvert?
L'idée de ré implémentation des fonctions du noyau est susceptible de conduire à des erreurs dues au fait que moins de personnel d'assurance qualité dans les organisations examinent leur code et corrigent les problèmes de sécurité dans le cadre de leur processus, expliquent les chercheurs.
En examinant cela, ils ont déterré et révélé un certain nombre de problèmes et un bug spécifique qui est en fait une vulnérabilité de huit ans dans un pilote. Le bug peut être utilisé pour escalader les privilèges dans la dernière version du noyau (4.16-rc3).
Ce bogue particulier est identifié en tant que CVE-2018-8781 et affecte la fonction interne mmap () définie dans les opérations du fichier fb_helper du pilote udl de DisplayLink:
Le module video / drm du noyau définit un wrapper mmap () par défaut qui appelle ce vrai gestionnaire mmap () défini par le pilote spécifique. Dans notre cas, la vulnérabilité est dans le mmap interne () défini dans les opérations du fichier fb_helper du pilote "udl" de "DisplayLink". |
Ceci est un exemple classique pour un Integer-Overflow, Check Point clarifié. research.checkpoint.com
Qu'est-ce qu'un débordement d'entier?
Un débordement d'entier a lieu lorsqu'une opération arithmétique essaie de créer une valeur numérique qui est en dehors de la plage qui peut être représentée avec un nombre donné de bits.
Étant donné que offset n'est pas signé, le programmeur a ignoré la vérification n ° 1 et est passé directement à la vérification n ° 2. Cependant, le calcul "offset + size" peut être arrondi à une valeur basse, ce qui nous permet de contourner la vérification tout en utilisant une valeur "offset" illégale. |
Comment CVE-2018-8781 a-t-il été vérifié?
Pour ce faire, les chercheurs ont utilisé une machine virtuelle 64 bits Ubuntu et ont mis en ligne une vulnérabilité simulée À chaque test, le gestionnaire mmap () du pilote contenait l'implémentation qu'il souhaitait vérifier. Une analyse plus approfondie a révélé que l'utilisateur peut lire et écrire depuis / vers les pages mappées, ce qui permet à un attaquant de déclencher l'exécution de code dans l'espace noyau.
Source : sensorstechforum.com
Suivez ce blog : Newsletter, Mail
Commenter cet article