![\"linux](\"https:\/\/1.bp.blogspot.com\/-Hin0Tq8WAMU\/W63npBKfv7I\/AAAAAAAAyP4\/W-Z80tN_Qnk8H0ixKpzR3GU6ZeTX0vuEgCLcBGAs\/s728-e100\/google-linux-kernel-vulnerability-exploit.jpg\" "\\"linux")
<\/a><\/div>\nExplora\u00e7\u00e3o do Kernel Linux leva uma hora para obter acesso root<\/strong><\/p>\n No entanto, Horn diz que sua explora\u00e7\u00e3o PoC Linux disponibilizada para o p\u00fablico “leva cerca de uma hora para ser executada antes de abrir um shell de root”.<\/p>\n Horn reportou responsavelmente a vulnerabilidade aos mantenedores do kernel Linux em 12 de setembro, e a equipe do Linux corrigiu o problema em sua \u00e1rvore de desenvolvimento dentro de dois dias, o que Horn disse ser “excepcionalmente r\u00e1pido, comparado aos tempos de corre\u00e7\u00e3o de outros fornecedores de software”.<\/p>\n A vulnerabilidade do kernel do Linux foi divulgada na lista de discuss\u00e3o oss-security em 18 de setembro e foi corrigida no kernel est\u00e1vel suportado pelo upstream vers\u00f5es 4.18.9, 4.14.71, 4.9.128 e 4.4.157 no dia seguinte. Debian e Ubuntu Linux deixaram seus usu\u00e1rios vulner\u00e1veis \u200b\u200bpor mais de uma semana<\/strong><\/p>\n “No entanto, uma corre\u00e7\u00e3o no kernel do upstream n\u00e3o significa automaticamente que os sistemas dos usu\u00e1rios s\u00e3o realmente corrigidos”, observou Horn.<\/p>\n O pesquisador ficou desapontado, sabendo que algumas das principais distribui\u00e7\u00f5es do Linux, incluindo Debian e Ubuntu, deixaram seus usu\u00e1rios expostos a poss\u00edveis ataques ao n\u00e3o lan\u00e7arem atualiza\u00e7\u00f5es do kernel mais de uma semana depois que a vulnerabilidade foi divulgada.<\/p>\n Na quarta-feira, tanto o Debian est\u00e1vel quanto o Ubuntu, vers\u00f5es 16.04 e 18.04, n\u00e3o tinham corrigido a vulnerabilidade. No entanto, o projeto Fedora j\u00e1 lan\u00e7ou um patch de seguran\u00e7a para seus usu\u00e1rios em 22 de setembro.<\/p>\n “O Debian stable possui um kernel baseado em 4.9, mas a partir de 2018-09-26, este kernel foi atualizado pela \u00faltima vez em 2018-08-21. Da mesma forma, o Ubuntu 16.04 traz um kernel que foi atualizado pela \u00faltima vez em 2018-08-27,” observou Horn .<\/p>\n “O Android s\u00f3 envia atualiza\u00e7\u00f5es de seguran\u00e7a uma vez por m\u00eas. Portanto, quando uma corre\u00e7\u00e3o cr\u00edtica de seguran\u00e7a est\u00e1 dispon\u00edvel em um kernel est\u00e1vel, ainda pode levar semanas at\u00e9 que a corre\u00e7\u00e3o esteja realmente dispon\u00edvel para os usu\u00e1rios, especialmente se o impacto na seguran\u00e7a n\u00e3o for anunciado publicamente. “<\/p>\n Em resposta ao post no blog do Horn, os mantenedores do Ubuntu dizem que a empresa possivelmente lan\u00e7aria os patches para a falha do kernel do Linux por volta de 1\u00ba de outubro de 2018.<\/p>\n Horn disse que uma vez que o patch \u00e9 implantado no kernel upstream, a vulnerabilidade e o patch se tornam p\u00fablicos, o que, nesse caso, poderia permitir que agentes maliciosos desenvolvessem uma explora\u00e7\u00e3o do kernel do Linux para direcionar os usu\u00e1rios.<\/p>\n
\nH\u00e1 tamb\u00e9m uma corre\u00e7\u00e3o na vers\u00e3o 3.16.58.<\/p>\n