seostock
24.11.2016, 01:02
Для выполнения кода потребуется всего лишь загрузить на систему специально сформированный файл.
С точки зрения безопасности ОС Linux считается более надежной по сравнению с Windows, однако, по словам эксперта Криса Эванса (Chris Evans), обойти защиту Linux гораздо проще, чем принято думать. Для выполнения кода потребуется всего лишь загрузить в систему специально сформированный файл.
Эванс разработал (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fscarybeastsecurity.b logspot.ro%2F2016%2F11%2F0day-exploit-advancing-exploitation.html) эксплоит, предназначенный для эксплуатации уязвимостей повреждения памяти в плагине GStreamer, включенном в большинство дистрибутивов Linux. Эксплутация уязвимостей может привести к отказу в работе фреймворка и выполнению программ при помощи специально сформированного файла. Эксперт опубликовал пример эксплоита, работающего в окружении Fedora Linux (эксплоит может быть адаптирован для Ubuntu и других дистрибутивов).
Эксплоит представляет собой специально сформированный файл в формате FLAC, открытие которого в Rhythmbox приводит к запуску калькулятора. С целью обхода защиты ASLR (Address Space Layout Randomization) и DEP (Data Execution Prevention) эксплоит осуществляет точечную подстановку кода в цикле декодирования мультимедийного потока.
По словам исследователя, проэксплуатированная им уязвимость также затрагивает Ubuntu 16.04 и другие дистрибутивы, в состав которых входит GStreamer. Разработчики Ubuntu уже выпустили (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fwww.ubuntu.com%2Fusn %2Fusn-3135-1%2F) корректирующее обновление, устраняющее обнаруженные Эвансом уязвимости.
23.11.16 http://www.securitylab.ru/news/484540.php
С точки зрения безопасности ОС Linux считается более надежной по сравнению с Windows, однако, по словам эксперта Криса Эванса (Chris Evans), обойти защиту Linux гораздо проще, чем принято думать. Для выполнения кода потребуется всего лишь загрузить в систему специально сформированный файл.
Эванс разработал (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fscarybeastsecurity.b logspot.ro%2F2016%2F11%2F0day-exploit-advancing-exploitation.html) эксплоит, предназначенный для эксплуатации уязвимостей повреждения памяти в плагине GStreamer, включенном в большинство дистрибутивов Linux. Эксплутация уязвимостей может привести к отказу в работе фреймворка и выполнению программ при помощи специально сформированного файла. Эксперт опубликовал пример эксплоита, работающего в окружении Fedora Linux (эксплоит может быть адаптирован для Ubuntu и других дистрибутивов).
Эксплоит представляет собой специально сформированный файл в формате FLAC, открытие которого в Rhythmbox приводит к запуску калькулятора. С целью обхода защиты ASLR (Address Space Layout Randomization) и DEP (Data Execution Prevention) эксплоит осуществляет точечную подстановку кода в цикле декодирования мультимедийного потока.
По словам исследователя, проэксплуатированная им уязвимость также затрагивает Ubuntu 16.04 и другие дистрибутивы, в состав которых входит GStreamer. Разработчики Ubuntu уже выпустили (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fwww.ubuntu.com%2Fusn %2Fusn-3135-1%2F) корректирующее обновление, устраняющее обнаруженные Эвансом уязвимости.
23.11.16 http://www.securitylab.ru/news/484540.php