Marvell Avastar 88W8897无线芯片组存在严重安全漏洞
2019-01-21 00:00
561 查看
根据Embedi研究员Denis Selianin发布的报告,Marvell Avastar 88W8897无线芯片组固件存在安全漏洞,导致数十亿台笔记本电脑,智能手机,游戏设备,路由器和使用该芯片的物联网设备面临安全风险。
在报告中,Selianin描述了如何使用88W8897无线芯片组上安装的ThreadX固件执行恶意代码,而无需任何用户交互。 ThreadX是一种实时操作系统(RTOS),已被用作数十亿设备的固件。
Selianin说:“我已经设法在固件的某些部分识别出大约4个内存损坏问题。其中一个漏洞是ThreadX块池溢出的特例。在扫描可用网络期间,无需用户交互即可触发此漏洞。“
“发现的漏洞之一是ThreadX块池溢出的特例。在扫描可用网络期间,无需用户交互即可触发此漏洞。无论设备是否连接到某个Wi-Fi网络,此过程每5分钟启动一次。这就是为什么这个bug太酷了,并且提供了在任何无线连接状态下即使设备没有连接到任何网络时也可以通过零点击交互来利用设备的机会。例如,只需启动三星Chromebook即可完成RCE。所以总结一下:
- 它不需要任何用户交互。
- 在GNU/Linux操作系统的情况下,它可以每5分钟触发一次。
- 它不需要知道Wi-Fi网络名称或密码/密钥。
- 即使设备未连接到任何Wi-Fi网络,只需打开电源即可触发。
相关文章推荐
- “tradeRifle”漏洞细节披露 ——火币交易所OTC服务存在严重安全漏洞,可被攻击者利用窃取用户数字资产
- FreeTextBox中存在一个严重的安全漏洞
- 雅虎存在严重安全漏洞,可以轻松获得账户的控制权
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- ZFS 存在严重安全漏洞 ,可导致系统引导失败
- 详讯:微软承认Outlook中存在严重安全漏洞
- 雅虎书签存在严重安全漏洞,可以轻松获得账户的控制权
- 发现21cn邮箱存在严重的安全漏洞及风险,对于申请密保的邮箱可以随便更改任意用户的密码
- Jsky扫描软件存在严重安全漏洞
- 【每日安全资讯】phpMyAdmin被曝存在严重CSRF漏洞可对数据库造成破坏
- 详讯:微软承认Outlook中存在严重安全漏洞
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- 120941138.三星处理器被发现存在严重安全漏洞
- 关于“微软IE浏览器存在一个严重的0 day”安全漏洞的紧急通知
- 详讯:微软承认Outlook中存在严重安全漏洞
- Gmail存在严重安全漏洞 无需密码也可进入邮箱
- FreeTextBox中存在一个严重的安全漏洞
- 惊爆:Google Gmail存在严重漏洞
- 联通更换思科设备:或因存在安全漏洞
- 《目前国内一些免费email存在的一个安全漏洞》