Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto CISA on lisännyt Linuxin kriittisen tietoturva-aukkojen luetteloonsa, jossa listataan niitä haavoittuvuuksista, joita tiedetään käytettävän aktiivisesti. Haavoittuvuus on CVE-numeroltaan CVE-2024-1086.
Aukon vakavuusluokitus on 7,8/10. Haavoittuvuus antaa järjestelmään päässelle hyökkääjälle mahdollisuuden laajentaa oikeutensa järjestelmätasolle. Se on seurausta use-after-free -virheestä, haavoittuvuudesta, joka ilmenee C- ja C++-kielillä kirjoitetuissa ohjelmistoissa.
Tarkalleen aukko synty, kun prosessi säilyttää pääsynsä (access) muistipaikkaan sen jälkeen, kun se on vapautettu tai vapautettu. Tällaiset use-after-free-haavoittuvuudet voivat johtaa etäkoodiin tai oikeuksien eskaloitumiseen.
Haavoittuvuus vaikuttaa Linuxin ytimen versioihin 5.14–6.6. Se liittyy ytimen komponenttiin, joka helpottaa erilaisia verkkotoimintoja, mukaan lukien pakettisuodatus, verkko-osoitteen ja portin käännös, pakettien kirjaaminen, käyttäjätilan pakettien jonottaminen ja muu pakettien käsittely.
Aukko on korjattu tammikuussa, mutta kuten CISA:n listaus ja ohjeistus osoittaa, kaikkiin tuotantojärjestelmiin ei vielä ole asennettu päivitystä. Aukon hyväksikäytöstä ei ole vielä tullut julki merkkejä.
CISA on antanut toimivaltaansa kuuluville liittovaltion virastoille 20. kesäkuuta asti aikaa julkaista korjaustiedosto. Lisätietoa aukosta löytyy NIST:n CEV-sivuilta täällä.
Kuva: DALL-E
Elektroniikka- ja kodinkonekaupan yhdistys ETKOn lukujen mukaan Suomessa myytiin heinä-syyskuussa reilut 636 tuhatta puhelinta, mikä on 4,4 prosenttia enemmän kuin vuotta aikaisemmin. Rahassa mitattuna myynnin arvo sen sijaan laski 1,6 prosenttia.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.
