کشف آسیب‌پذیری ارتقاء امتیاز در برنامه‌ی مدیر دستگاه ال‌جی

آسیب‌پذیری ارتقاء امتیاز که به مهاجمان اجازه می‌دهد تا امتیازات را به سطح SYSTEM افزایش دهد، در برنامه‌ی مدیر دستگاه LG برای لپ‌تاپ‌های این شرکت کشف شده است. پژوهش‌گری با نام مستعار جکسون درایور هسته‌ی دسترسی سخت‌افزاری سطح پایین (LHA) این ابزار را که با سرویس سیستم مدیر دستگاه ال‌جی مرتبط است، تجزیه و تحلیل کرد و برخی فایل‌های سیستمی را آزمایش کرد.

آسیب‌پذیری ارتقاء امتیاز که به مهاجمان اجازه می‌دهد تا امتیازات را به سطح SYSTEM افزایش دهد، در برنامه‌ی مدیر دستگاه LG برای لپ‌تاپ‌های این شرکت کشف شده است. پژوهش‌گری با نام مستعار جکسون درایور هسته‌ی دسترسی سخت‌افزاری سطح پایین (LHA) این ابزار را که با سرویس سیستم مدیر دستگاه ال‌جی مرتبط است، تجزیه و تحلیل کرد و برخی فایل‌های سیستمی را آزمایش کرد.

این آسیب‌پذیری امنیتی که با شناسه‌ی CVE-2019-8372 ردیابی می‌شود، به مهاجمی که دسترسی غیر مدیر به دستگاه هدف دارد، اجازه می‌دهد تا از برنامه‌ی مدیر دستگاه برای ارتقاء امتیاز به سطح SYSTEM سوء‌استفاده کند. به‌گفته‌ی وی این درایور برای دسترسی سخت‌افزاری سطح پایین استفاده می‌شود و شامل توابع ارسال IOCTL است که برای خواندن و نوشتن حافظه‌ی فیزیکی دلخواه استفاده می‌شود. هنگامی‌که بارگذاری می‌شود، دستگاه ایجادشده توسط درایور برای کاربران غیر مدیر قابل‌دسترسی است که می‌تواند به آن‌ها این امکان را بدهد تا از این توابع برای ارتقاء امتیاز استفاده کنند.

این مسأله در ۱۸ نوامبر به ال‌جی گزارش شد و این شرکت در ۱۳ فوریه اعلام کرد که یک وصله برای رفع این آسیب پذیری منتشر کرده است. جکسون بیان کرد که ال‌جی یک نسخه‌ی به‌روزرسانی‌شده از درایور را برای آزمایش به او ارائه داده و تأیید کرد که اصلاحات پیشنهادی او به‌درستی پیاده‌سازی شده است.

منبع

پست‌های مشابه

Leave a Comment