发现 26 个 USB 漏洞:Linux 18个 Windows 4 个...

最新推荐文章于 2022-01-12 12:42:30 发布
最新推荐文章于 2022-01-12 12:42:30 发布
阅读量443 收藏
点赞数

点击上方 "程序员小乐"关注, 星标或置顶一起成长

每天凌晨00点00分, 第一时间与你相约

每日英文

This is the way I am. I treat well those who treat me well.

我就是这么一个人,谁对我好我就对谁好。

每日掏心

每一发奋努力的背后,必有加倍的赏赐。再长的路,一步步也能走完,再短的路,不迈开双脚也无法到达。诚心诚意,诚字的另一半就是成功。

来自:hackernews | 责编:乐乐

程序员小乐(ID:study_tech) 第 881 次推文  图源:百度

往日回顾:GitHub下载,可达到2MB/s,堪称加速神器!

     

   正文   

近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。

这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合,能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后,安全研究人员分析被测试软件的行为方式,以发现新的bug,其中一些可能被恶意利用。

为了测试USB驱动,Peng和Payer共同开发了USBFuzz,这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示:“其核心部分,USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据(当他们执行IO操作时)。”

团队表示:“由于仿真的USB设备是在设备层面工作的,因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz,还可以在其他操作系统上进行测试。

研究人员表示,他们在以下平台上测试了USBFuzz。

● Linux内核的9个最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(评估时的最新版本)。

● FreeBSD 12 (最新版本)

● MacOS 10.15 Catalina(最新版本)

● Windows(8和10版本,并安装了最新的安全更新)

在测试之后,研究团队表示,在USBFuzz的帮助下,他们一共发现了26个新的bug。

研究人员在FreeBSD中发现了一个bug,在MacOS中发现了三个(两个导致计划外重启,一个导致系统冻结),在Windows 8和Windows 10中发现了四个(导致死亡蓝屏)。

最严重的是针对Linux的,总共有18个。其中16个是针对Linux各个子系统(USB core, USB sound和net-work)的高危内存漏洞,此外还有1个是针对Linux的USB

host主控驱动,还有一个是USB摄像头驱动。

Peng和Payer表示,他们向Linux内核团队报告了这些bug,并提出了补丁建议,以减轻 “内核开发人员在修复报告的漏洞时的负担”。

研究团队表示,在这18个Linux漏洞中,有11个自去年首次报告以来,他们收到了补丁。在这11个bug中,有10个还收到了CVE,这是一个被分配给重大安全漏洞的唯一代码。

欢迎在留言区留下你的观点,一起讨论提高。如果今天的文章让你有新的启发,学习能力的提升上有新的认识,欢迎转发分享给更多人。

欢迎各位读者加入订阅号程序员小乐技术群,在后台回复“加群”或者“学习”即可。

猜你还想看

阿里、腾讯、百度、华为、京东最新面试题汇集

你这API设计的真”辣鸡“,简直没法看!

为什么超级计算机都不用Windows或MacOS系统?

用户密码加密存储十问十答,一文说透密码安全存储

关注订阅号「程序员小乐」,收看更多精彩内容

嘿,你在看吗

程序员小乐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统和Windows系统的区别,安装Linux系统教程示例.docx
07-08
此外,由于源代码公开,安全漏洞往往能够更快地被发现和修复。而Windows由于其封闭性,可能会成为黑客攻击的目标,虽然它也有自己的安全措施,如防火墙和反病毒软件。 用户界面方面,Windows以其直观易用的图形用户...
Quectel_WCDMA&LTE_Linux_USB_Driver_User_Guide_V1.8.pdf
02-16
这个驱动程序使得Linux内核能够识别并管理EC20,执行数据传输任务。 三、USB驱动架构 EC20模块通过USB接口与主机通信。Linux中的USB驱动程序通常包括以下部分: 1. USB核心层:处理USB总线的基本操作,如枚举设备、...
USB接口被检测出安全漏洞
z228766的专栏
08-02 796
近日,位于柏林的SR安全研究实验室专家发现了一个代号“BadUSB”的重大USB安全漏洞——USB接口控制器芯片固件可以被重新编程,用于恶意用途,而最糟糕的是,这种重新编程行为几乎无法被察觉和侦测。 过去安全专家们一再强调的是对U盘使用的管理,而代号“BadUSB”的安全漏洞曝光后,USB成了世界上最危险的数据接口,除非仅仅用于充电,原则上讲,你甚至不能在电脑和手机上插入任何USB
USB 出现巨大安全漏洞:不要用陌生人的U盘
weixin_34221073的博客
06-09 185
今年7月,研究员Karsten Nohl和Jakob Lell在拉斯维加斯的黑帽安全大会上宣布他们找到一个名为BadUSB的重大安全漏洞,这一漏洞让黑客可 以偷偷往设备上传输恶意软件,同时不被发现。更糟糕的是,目前还找不到能修复这一漏洞的方法。所有的U盘在使用时都存在风险,而且由于出现问题的代码存在 于USB固件中,如果不对整个系统进行重新设计,就无法修...
linux usb 驱动漏洞,只需插入 USB 就能黑掉 Linux 设备
weixin_30481539的博客
05-13 223
运行KDE Plasma桌面环境的Linux用户需要尽快打补丁,因为当用户在电脑中插入USB时就可导致恶意代码执行。KDE Plasma团队已发布版本5.8.9和5.12.0解决该“任意命令执行”漏洞CVE-2018-6791。从对漏洞的描述中可看出,卷标中存在字符“或$()的USB驱动器将把这些字符中包含的文本当作shell命令执行。也就是说,攻击者能在USB驱动的...
USB接口爆发严重安全漏洞
luyong3435的专栏
08-05 619
8月5日消息,根据美国《连线》杂志报道,德国研究人员表示,近期出现的一种名为“BadUSB”的新型恶意软件正让在电脑上插入USB设备变成最危险的事之一。 “BadUSB”新型恶意软件可以利用驱动完全控制电脑,改变文件或重新定向网络流量。USB是英文Universal Serial Bus(通用串行总线)的缩写,是目前使用最广泛的外部总线标准之一。 位于德国柏林的SR安全研究实验室专家发
他们从各大操作系统中发现26USB 漏洞,用的是这款模糊测试工具
smellycat000的专栏
05-28 633
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队普渡大学的研究员Hui Peng和瑞士洛桑联邦理工学院的研究员Mathias Payer在多种操作系统(如Linu...
语言程序设计资料:Linux教程.doc
09-17
Linux系统通常通过ISO镜像进行发布,用户可以通过下载这些镜像,然后烧录到光盘或制作成USB启动盘进行安装。此外,许多Linux发行版还提供网络安装选项,用户可以直接从网络上下载必要的软件包并安装。 【Linux系统...
Python库 | frida-14.2.18-py3.8-linux-i686.egg
02-21
4. **跨平台支持**:Frida不仅支持Linux,还覆盖了Windows、macOS、Android、iOS等多个平台,使得跨平台的代码分析成为可能。 5. **Python绑定**:提供的Python绑定使得Frida可以轻松集成到Python脚本中,利用...
打造基于Linux的廉价badusb攻击.pdf
01-02
这涉及到创建一个能够适应多种操作系统的恶意USB设备,比如使用嵌入式Linux系统进行HID攻击。通过这样的攻击,攻击者可以将USB端口伪装成以太网接口,进行流量监控、DNS缓存中毒中间人攻击(MITM)等网络攻击行为。 ...
USB 漏洞影响超100万来自不同供应商的路由器
w3cschools的博客
01-12 2561
东方联盟网络安全研究人员详细介绍了 KCodes NetUSB 组件中的一个严重缺陷,该组件集成到来自 Netgear、TP-Link、Tenda、EDiMAX、D-Link 和 Western Digital 等的数百万最终用户路由器设备中。 KCodes NetUSB是一个 Linux 内核模块,它使本地网络上的设备能够通过 IP 提供基于 USB 的服务。打印机、外部硬盘驱动器和插入基于 Linux 的嵌入式系统(例如,路由器)的闪存驱动器可通过使用驱动程序的网络获得。 CVE-2021-45
WindowsLinux、macOS 爆严重安全漏洞
CSDN资讯
05-10 3508
点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!这次,是英特尔和 AMD 两家芯片厂商的锅!近来关于芯片的大事件真是一桩接着一桩。撇开胶着着的中美芯片“博...
BADUSB 橡皮鸭 键盘注入漏洞 USB协议漏洞
xiaogui_666的博客
01-10 1936
BadUSB最早是在2014年的黑帽大会上研究人员JakobLell和Karsten Nohl提出并展示的。不同于老式的U盘病毒,它利用了USB协议中的一个漏洞,通过模拟键盘、鼠标、网卡等从而让目标电脑执行恶意代码,达到控住主机或者窃取敏感信息等目的。
syzkaller安装
大草的博客
05-08 2069
安装syzkaller。运行命令,进行安装,比较容易。 但是阅读构建脚本,我们可以掌握基本的linux内核的构建,文件系统的构建,qemu的使用。 遗憾的是,我暂时没有阅读syzkaller manager本身的构建过程;没有去运行syzkaller。 目的地重要,路上的skill也重要。一个领域的环境大体有一定的大小,出门便可以遇到之前接触的内容,也是件令人快乐的事情。
linux usb 重启电脑,技术|如何在 Linux 中创建 USB 启动盘来拯救 Windows 用户
weixin_35678674的博客
05-13 122
WoeUSB 可以在 Linux 中制作 Windows 启动盘,并帮助你的朋友解锁他们罢工的机器。人们经常要求我帮助他们恢复被锁死或损坏的 Windows 电脑。有时,我可以使用 Linux USB 启动盘来挂载 Windows 分区,然后从损坏的系统中传输和备份文件。有的时候,客户丢失了他们的密码或以其他方式锁死了他们的登录账户凭证。解锁账户的一种方法是创建一个 Windows 启动盘来修复计...
USB fuzzing
weixin_30438813的博客
05-17 332
简介 最近看一些USB fuzzing方面的东西,总结一下。主要是软件方面的工作。 vUSBf 文章在这里:https://www.blackhat.com/docs/eu-14/materials/eu-14-Schumilo-Dont-Trust-Your-USB-How-To-Find-Bugs-In-USB-Device-Drivers-wp.pdf qemu支持USB重...
syzkaller安装详细记录
m0_46161993的博客
01-23 2572
平台 VMware Ubuntu16.04 预安装 sudo apt-get install gcc g++ m4 make libncurses5-dev libssl-dev texinfo build-essential openssl zlibc minizip libidn11-dev libidn11 flex bison git debootstrap qemu-system-x86 libelf-dev 预目录 在/home/lyg下创建一个工作目录(lyg是用户名,请根据自己的系统进行修
linux下程序被Killed
热门推荐
高飞的专栏
08-12 6万+
服务器上跑的一个程序,发现报了Killed
linux usb接收数据丢失,USB存储介质 – Linux上的数据完整性问题
weixin_30141959的博客
05-13 226
首先,当你得到一个新设备时,我可以建议给它写入数据,然后使用md5sum / sha1sum / …验证数据.特别便宜的USB设备往往会被破坏. ???? USB笔在前几百(MB)工作正常并且在最后的MB上倾向于数据输出并不是那么不寻常.可悲的是,很多用户都没有意识到这一点并且发现问题太晚了:当USB笔充满时.您所说的问题通常位于USB芯片组(尽管有时仅在使用特殊硬件组合时才可见).如果它适用于Wind...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值