พบช่องโหว่ยกระดับสิทธ์บนลีนุกซ์ คาดกระทบดิสโทรหลักทั้งหมด

ผู้เชี่ยวชาญจาก Qualys ได้สาธิตช่องโหว่ใหม่ที่ชื่อว่า ‘PwnKit’ ซึ่งเกิดขึ้นใน pkexec ซึ่งสามารถทำให้คนร้ายได้สิทธิ์ระดับ Root

pkexec เป็นส่วนหนึ่งของโปรเจ็คโอเพ่นซอร์สที่ชื่อ Polket โดยส่วนประกอบนี้ทำให้ผู้ใช้งานที่มีผ่านการพิสูจน์ตัวตนสามารถรันคำสั่งในบริบทของผู้ใช้งานอื่น คล้ายกับความสามารถของ Sudo ซึ่ง Qualys พบช่องโหว่ CVE-2021-4034 (PwnKit) หรือช่องโหว่ Memory Corruption ทำให้คนร้ายที่ยังไม่มีสิทธิ์ในระดับ Local สามารถได้รับสิทธิ์ในระดับ Root

โดยผู้เชี่ยวชาญพบว่าช่องโหว่เกิดขึ้นตั้งแต่เวอร์ชันแรกของ pkexec แล้วหรือตั้งแต่พฤษภาคมปี 2009 และกระทบกับลีนุกซ์ดิสโทรหลักๆทั้ง Ubuntu, Debian, Fedora และ CentOS ซึ่งคาดว่าจะมีมากกว่านี้ อย่างไรก็ดีทีมงานได้แจ้งเตือนทีมพัฒนา OS จะมีแพตช์ออกมาแล้วไม่ว่าจะเป็น Red Hat และ Ubuntu เป็นต้น สำหรับผู้สนใจชมวีดีโอสาธิตได้ที่ด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google กำลังเพิ่ม IT Security ใน Chrome

Google ประกาศเพิ่ม Enterprise Connectors Framework แบบ Plug-and-Play เข้ากับ Chrome พร้อมเครื่องมือด้าน IT Security  

ผู้เชี่ยวชาญพบมัลแวร์ ChromeLoader เพิ่มจำนวนขึ้น แนะระวังการดาวน์โหลดซอฟต์แวร์

ChromeLoader เป็นมัลแวร์ที่มีจุดประสงค์ในการ Hijack บราวน์เซอร์ของผู้ใช้ที่น่าจับตา เนื่องจากความสามารถด้านการฝังตัวยาวนาน และจำนวนที่พบมากขึ้นเรื่อยๆ