Security Week 2205: эскалация привилегий в Linux и Windows
Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.
Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.
Читать дальше →
Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
- VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
- Laravel: электронная подпись на сервере с PDF визуализацией
- Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
- OSINT на боевом рубеже: новый фронт военной разведки
- Блеск и ад p2p-торговли на Bybit
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
- Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
- Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
- Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)