Un bug qui a été présent dans Linux depuis près de trois ans peut être utilisé par les pirates pour gagner le contrôle presque total sur un appareil, disent les chercheurs en sécurité. Elle peut toucher des dizaines de millions de Pc et de serveurs, ainsi que 66 pour cent de tous les téléphones Android et les tablettes.
La Perception du Point de rapports que le nouvellement découvert un bug, qui est snappily connu comme CVE-2016-0728, se trouve dans le système d’exploitation du trousseau de clés, qui est utilisé pour stocker des choses comme la sécurité des données, l’authentification des clés et des clés de chiffrement, de sorte qu’ils ne peuvent pas être utilisés par tout old app. L’équipe de la Perception, cependant, a identifié un bug et a construit une preuve de concept d’attaque qui permet de remplacer un élément du trousseau qui est placé dans la mémoire avec un peu de code.
Ce code est exécuté par le noyau de l’essentiel bits d’un OS qui se traduit par l’entrée et la sortie des demandes de logiciels dans les actions que le PROCESSEUR doit effectuer. Le code peut être utilisé pour faire toutes sortes de choses—d’obtenir un accès root sur un serveur, le contrôle de la totalité du système d’exploitation sur un téléphone Android, ou même des attaques matériel qui exécute une version embarquée de Linux, comme un routeur.
Le bug affecte le noyau Linux en version 3.8, qui a été publié au début de 2013, de sorte qu’il affecte aussi tous les appareils Android fonctionnant KitKat ou plus tard. La Perception du Point de notes qu’il n’a pas observé “tout exploiter le ciblage de cette vulnérabilité à l’état sauvage, mais elle ne “recommande que les équipes de sécurité d’examiner les dispositifs potentiellement concernés et de mettre en œuvre les correctifs dès que possible.”
Ars Technica note que les distributions Linux majeures devraient recevoir un correctif de cette semaine, mais il peut prendre plus de temps pour votre Android combiné pour obtenir une mise à jour. Comme toujours, soyez vigilants.
Sponsorisé
[Perception par Ars Technica]
Image par Mike Holloway