محققان امنیتی گوگل به تازگی آسیبپذیری جدیدی را در هستهی لینوکس کشف و جزئیات فنی آن را به همراه بهرهبرداری اثبات مفهومی منتشر کردهاند. به این آسیبپذیری شناسهی CVE-2018-17182 اختصاص داده شده و یک اشکال استفاده پس از آزادسازی محسوب میشود. این اشکال در آگوست سال ۲۰۱۴ میلادی با انتشار هستهی نسخهی ۳٫۱۶ معرفی شده است. مهاجمان میتوانند از آسیبپذیری استفاده پس از آزادسازی برای خراب کردن دادههای حافظه، فروپاشی سیستم و ایجاد شرایط منع سرویس و همچنین اجرای کدهای دلخواه بهرهبرداری کنند.
محققان اعلام کردند مهاجم با بهرهبرداری از این آسیبپذیری میتواند باینریهای مخرب را با امتیازات ریشه اجرا کند. کد اثبات مفهومی که توسط محققان منتشر شده به مهاجم امکان بهرهبرداری و دسترسی به شِل را فراهم میکند. هرچند اجرای این کد حداقل به یک ساعت زمان نیاز دارد. این آسیبپذیری در تاریخ ۱۲ سپتامبر به لینوکس گزارش شده و دو روز پس از آن نیز وصلهای برای برطرف کردن آن منتشر شده است. این آسیبپذیری نسخههای ۳٫۱۶ تا ۴٫۱۸٫۸ از هستهی لینوکس را تحت تاثیر قرار داده است. دو روز بعد از گزارش این آسیبپذیری، این اشکال در انتشارهای بعدی هستهی لینوکس ۴٫۱۸٫۹، ۴٫۱۴٫۷۱، ۴٫۹٫۱۲۸، ۴٫۴٫۱۵۷ و همچنین ۳٫۱۶٫۵۸ وصله خواهد شد. با این حال وصلهی آسیبپذیری در شاخهی توسعهی کرنل به این معنی نیست که سیستمهای کاربران بهطور خودکار بهروزرسانی شده است.
این محقق امنیتی از این مسأله ابراز ناراحتی کرد که با وجود گذشت یک هفته از افشای عمومی این آسیبپذیری، برخی از توزیعهای مهم مانند دبیان و اوبونتو، بهروزرسانیهای امنیتی را برای کاربران خود منتشر نکردهاند. در توزیع دبیان با هستهی ۴٫۹ در تاریخ ۲۶ سپتامبر آخرین بهروزرسانیهای امنیتی مربوط به تاریخ ۲۱ سپتامبر بوده است. بهطور مشابه در اوبونتو ۱۶٫۰۴ بهروزرسانیها برای ۲۷ آگوست بوده است. توزیع فدورا در تاریخ ۲۲ سپتامبر بهروزرسانی را برای این آسیبپذیری منتشر کرده است. توزیع اوبونتو در پاسخ به این اظهارنظرها اعلام کرده در انتشار بعدی هستهی لینوکس که در ۱ اکتبر منتشر میشود، این آسیبپذیری را وصله خواهد کرد.