Connectez-vous avec nous

Ordinateurs et informatique

Les systèmes USB peuvent présenter de graves failles de sécurité – en particulier sous Linux

Les universitaires ont développé un nouvel outil qui leur a permis de découvrir 26 vulnérabilités auparavant non identifiées dans la pile de pilotes USB utilisée par de nombreux systèmes d'exploitation populaires, notamment Linux, macOS, Windows et FreeBSD.

Hui Peng de l'Université Purdue et Mathias Payer de l'Ecole polytechnique fédérale de Lausanne ont créé un nouvel outil appelé USBFuzz sur lequel ils ont fourni plus de détails dans un article intitulé «USBFuzz: Un cadre pour fuzzer les pilotes USB par émulation de périphérique», Qui se lit comme suit:

«Nous présentons USBFuzz, un framework portable, flexible et modulaire pour tester les pilotes USB fuzz. Dans son cœur, USBFuzz utilise un périphérique USB émulé par logiciel pour fournir des données de périphérique aléatoires aux pilotes (lorsqu'ils effectuent des opérations d'E / S). »

L'outil est utilisé pour fuzzing qui implique de placer ou d'injecter délibérément des données tronquées dans une application ou un programme spécifique. Si le logiciel ne parvient pas à gérer correctement les données inattendues, les développeurs peuvent alors identifier les failles de sécurité potentielles et les corriger avant que les utilisateurs ne soient mis en danger.

USBFuzz

Après avoir développé USBFuzz, les chercheurs ont testé l'outil sur neuf versions récentes du noyau Linux (v4.14.81, v4.15, v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, et v4.20-rc2), FreeBSD12, macOS 10.15 et Windows 8 et 10.

Après leurs tests, ils ont découvert un bogue dans FreeBSD, trois dans macOS et quatre dans Windows 8 et Windows 10. Cependant, sur les 26 nouveaux bogues découverts par les chercheurs, 18 ont été trouvés sous Linux. Seize des bogues étaient des bogues de mémoire de haute gravité dans un certain nombre de sous-systèmes Linux (noyau USB, son USB et réseau), un bogue a été trouvé dans le pilote du contrôleur hôte USB Linux et le dernier bogue a été découvert dans un pilote de caméra USB .

Les chercheurs ont depuis signalé ces bogues à l'équipe du noyau Linux et ils ont également soumis leurs idées de correctifs pour rendre les choses un peu plus faciles pour les développeurs du noyau. Sur les 18 bogues USBFuzz trouvés dans Linux, 11 d'entre eux ont reçu un correctif depuis que les chercheurs ont soumis leurs premiers rapports l'année dernière. Des correctifs supplémentaires devraient être publiés dans un proche avenir pour les sept problèmes restants.

Les chercheurs envisagent également de publier USBFuzz sur GitHub en tant que projet open source afin que d'autres puissent utiliser leur outil pour le fuzzing.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

Nvidia a corrigé plusieurs failles de sécurité graves affectant les appareils Windows et Linux QNAP corrige des failles de sécurité encore plus graves sur ses périphériques NAS Le marché NFT OpenSea présentait de graves failles de sécurité Microsoft Azure présente de graves failles de sécurité Tous les processeurs AMD EPYC pourraient être vulnérables à de graves failles de sécurité Telegram dit avoir corrigé de graves failles de sécurité La Chine dit que Walmart a de graves failles de sécurité De nombreuses entreprises du Fortune 500 présentent de graves failles de sécurité informatique
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES