+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Realtek повідомив про чотири вразливості у трьох SDK Realtek

Realtek повідомив про чотири вразливості в трьох SDK Realtek

Realtek повідомив про чотири вразливості в трьох SDK супутніх модулях Wi-Fi, які використовуються майже в 200 продуктах від більш ніж п'ятдесяти постачальників.

Вразливості дозволяють віддаленому несанкціонованому зловмиснику викликати відмову в обслуговуванні, відключати пристрої та вбудовувати довільні команди.

CVE-2021-35392 – переповнення стекового буфера через UPnP у Wi-Fi Simple Config;

CVE-2021-35393 – переповнення купи через SSDP у Wi-Fi Simple Config;

CVE-2021-35394 – реалізація команд в інструменті діагностики DAemon MP;

CVE-2021-35395 – Кілька вразливостей у веб-інтерфейсі управління.

Перші дві вразливості отримали оцінку 8,1 з максимальних 10 за шкалою рейтингу небезпеки CVSS, а другі - 9,8 бала. Для їх експлуатації зловмисник повинен перебувати в тій же мережі, що і пристрій, або мати до неї доступ через інтернет.

Німецька компанія IoT Inspector, яка виявила вразливості, повідомила про них Realtek в травні поточного року, і виробник відразу випустив виправлення.

З цими вразливостями віддалений несанкціонований зловмисник може повністю скомпрометувати атакований пристрій і виконати довільний код з найвищим рівнем привілеїв.

За оцінками експертів, в продуктах більш ніж 65 виробників (серед яких AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech і Netgear) використовується модуль Realtek RTL819xD з функцією бездротової точки доступу і одним з вразливих SDK. Зокрема, вразливості впливають на Realtek SDK v2.x, Realtek "Jungle" SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT і Realtek "Luna" SDK до версії 1.3.2. Першому SDK вже 11 років і він більше не підтримується, а для другого виправлення готові, але їх доведеться бекпортувати. Для нової "Луни" SDK 1.3.2a всі патчі повністю готові.

Вразливості можуть вплинути на пристрої AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech і Netgear.

Інші новини

Найкраща ціна