В операционной системе Linux найдена критическая уязвимость, которая ставит под угрозу безопасность десятков миллионов компьютеров, серверов и Android-устройств. Брешь в ядре Linux, присутствующая в большей части современных Android-устройств, позволяет злоумышленникам выполнять команды с root-правами.
По словам специалистов из компании Perception Point, ошибка CVE-2016−0728 присутствует в Linux, начиная с версии ядра 3.8. Как ожидается, разработчики исправят баг на этой неделе. Тем не менее, принимая во внимание сложности, связанные с обновлением, многие Android- и встраиваемые устройства (банкоматы, платежные терминалы, телекоммуникационное оборудование и т.д.) могут оставаться подвержены хакерским атакам в течение многих месяцев и даже лет.
На серверах «дыра» позволяет злоумышленнику, имеющему локальный доступ к компьютеру, получить неограниченный доступ к корневому каталогу, а вредоносному приложению на Android-смартфонах (с версией KitKat и новее) — выбраться из защищенной “песочницы” и завладеть доступом к важнейшим функциям ОС.
«На момент обнаружения уязвимость угрожает примерно десяткам миллионов Lunux-компьютеров и серверов, а также 66% всех Android-устройств (телефонов/планшетов)», — сообщили эксперты.
В Google остались недовольны заявлениями исследователей. Основная претензия к специалистам Perception Point заключается в том, что они заранее не уведомили команду безопасности Android о найденной проблеме.
«Сейчас мы проводим расследование заявлений [Perception Point], относительно того, что данная проблема может значительно повлиять на всю экосистему Android. Мы полагаем, что число подверженных проблеме Android-устройств на самом деле значительно ниже заявленных цифр», — заявили в компании.
В 2014 году в Linux-дистрибутивах была обнаружена похожая ошибка, которая могла оставаться незамеченной в течение многих лет. От «троянца», эксплуатирующего уязвимость, пострадали системы в 45 странах. Как выяснила тогда «Лаборатория Касперского», на протяжении как минимум четырех лет вирус заражал системы в правительственных и образовательных учреждениях, посольствах, оборонных ведомствах, исследовательских и фармацевтических компаниях.
]]>