नॉर्थवेस्टर्न यूनिवर्सिटी में सुरक्षा शोधकर्ता और पीएचडी छात्र जेनपेंग लिन ने एक गंभीर भेद्यता की खोज की जो कर्नेल को प्रभावित करती है androidPixel 6 सीरीज या जैसे डिवाइस Galaxy S22. सुरक्षा कारणों से यह भेद्यता कैसे काम करती है इसका सटीक विवरण अभी तक जारी नहीं किया गया है, लेकिन शोधकर्ता का दावा है कि यह मनमाने ढंग से पढ़ने और लिखने, विशेषाधिकार वृद्धि की अनुमति दे सकता है और लिनक्स के SELinux सुरक्षा सुविधा की सुरक्षा को अक्षम कर सकता है।
फोटो गैलरी
जेनपेंग लिन ने ट्विटर पर एक वीडियो पोस्ट किया है जिसमें दिखाया गया है कि कैसे Pixel 6 Pro पर भेद्यता रूट हासिल करने और SELinux को अक्षम करने में सक्षम थी। ऐसे उपकरणों के साथ, एक हैकर किसी समझौता किए गए डिवाइस को बहुत नुकसान पहुंचा सकता है।
नवीनतम Google Pixel 6 को कर्नेल में 0 दिन के साथ लॉन्च किया गया! विशेषाधिकार बढ़ाने और नियंत्रण प्रवाह को हाईजैक किए बिना SELinux को अक्षम करने के लिए मनमाने ढंग से पढ़ने/लिखने का लक्ष्य हासिल किया। बग Pixel 6 Pro को भी प्रभावित करता है, अन्य Pixel प्रभावित नहीं होते हैं pic.twitter.com/UsOI3ZbN3L
- जेनपेंग लिन (@Markak_) जुलाई 5, 2022
वीडियो में दिखाए गए कई विवरणों के अनुसार, यह हमला दुर्भावनापूर्ण गतिविधि करने के लिए किसी प्रकार की मेमोरी एक्सेस के दुरुपयोग का उपयोग कर सकता है, संभवतः हाल ही में खोजी गई डर्टी पाइप भेद्यता की तरह जिसने प्रभावित किया Galaxy S22, Pixel 6 और अन्य androidओवा डिवाइस जो लिनक्स कर्नेल संस्करण 5.8 के साथ लॉन्च किए गए थे Androidयू 12. लिन ने यह भी कहा कि नई भेद्यता लिनक्स कर्नेल संस्करण 5.10 पर चलने वाले सभी फोन को प्रभावित करती है, जिसमें उल्लिखित वर्तमान सैमसंग फ्लैगशिप श्रृंखला भी शामिल है।
आपकी रुचि हो सकती है
पिछले साल, Google ने अपने सिस्टम में बग खोजने के लिए $8,7 मिलियन (लगभग CZK 211,7 मिलियन) का भुगतान किया था, और वर्तमान में कर्नेल स्तर पर कमजोरियों को खोजने के लिए $250 (लगभग CZK 6,1 मिलियन) तक की पेशकश कर रहा है, जो स्पष्ट रूप से यही मामला है। . न तो Google और न ही सैमसंग ने अभी तक इस मामले पर कोई टिप्पणी की है, इसलिए इस बिंदु पर यह स्पष्ट नहीं है कि नए लिनक्स कर्नेल शोषण को कब पैच किया जा सकता है। हालाँकि, Google के सुरक्षा पैच जिस तरह से काम करते हैं, उसके कारण यह संभव है कि संबंधित पैच सितंबर तक नहीं आएगा। इसलिए हमारे पास इंतजार करने के अलावा कोई विकल्प नहीं है.
