Linuxに深刻な脆弱性 ユーザーのセキュリティは12年も守られていなかった

Linuxオペレーティングシステムを使う企業はPwnKitに潜む重大な問題のために、12年間、ハッカーに脆弱性をさらしていた。米セキュリティ会社クオリスの発表した調査結果で明らかにされた。
この記事をSputnikで読む
脆弱性が見つかったのはPolkitで、ここにLinuxコンピュータでユーザの権限を配分できる脆弱性が発見された。Polkitのpkexecには深刻なメモリー破壊をおこす脆弱性があり、これが起きると低レベルの攻撃者にスーパーユーザーのルート権限を与えてしまいかねない。そうなれば、企業システムを悪用するチャンスを相手に無限に与えることになる。
Qualysが、Polkit(旧称「PolicyKit」)のpkexecに存在する危険なメモリー破壊の脆弱性CVE-2021-4034)「PwnKit」を発見したと報告している。
クオリスの報告には次のようにかかれている。
「わが社のリサーチャーらによって脆弱性の存在が証明され、エクスプロイト脆弱性利用型不正プログラム)を開発し、それを使ってUbuntu、Debian、 Fedora、CentOSなどのスタンダードシステムでスーパーユーザーのルート権限を得ることに成功した。Linuxの他のディストリビューションにもおそらく同じ脆弱性があると疑われている。問題は以前から存在し、12年以上にわたって気づかれないまま残り続け、pkexecの2009年5月にリリースされた初のバージョンから始まって全てに及んでいる」
クオリスのアナリストらは、PwnKitの攻撃はこの間にハッカーによって秘かに悪用され続けていた恐れがあり、この問題を知らなかった他のハッカーもクオリスが問題点を明るみにした後、悪用しはじめる恐れがあると指摘している。
関連ニュース
米マイクロソフト Windows 10向けの更新プログラムを早急にインストールするよう呼びかけ
Appleが新iO発表 スパイウェア「ペガサス」に対抗
コメント