Bezpečnostné varovanie V20180212-01K

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.8
Identifikátor
Broadcom WiFi Buffer Overflow Vulnerability
Popis
Spoločnosť Lenovo informovala o kritických bezpečnostných zraniteľnostiach v ovládači BCM4356 v bezdrôtových sieťových kartách spoločnosti Broadcom. Bezpečnostné zraniteľnosti umožňujú vzdialenému útočníkovi prostredníctvom radio resource management (RMM) a over-the-air Fast Transition požiadaviek spôsobiť pretečenie zásobníka a následne vykonať škodlivý kód a získať úplnú kontrolu nad systémom.
Spoločnosť Lenovo informovala, že predmetné zraniteľnosti sa nachádzajú v ovládačoch sieťových kariet pre MS Windows 10 v 25 modeloch notebookov tejto značky.
O daných zraniteľnostiach Wi-Fi chipset rodiny Broadcom BCM43xx, ktoré dostali pomenovanie „broadpwn“ sme informovali v bezpečnostnom bulletine B20170725.
Dátum prvého zverejnenia varovania
27.09.2017 (dátum aktualizácie 08.02.2018)
CVE
CVE-2017-11120, CVE-2017-11121
Zasiahnuté systémy
Broadcom BCM4356 Wireless LAN Driver
Notebooky Lenovo ThinkPad 10, ThinkPad P50s, ThinkPad L460, ThinkPad T460, ThinkPad T460p, ThinkPad T460s, ThinkPad L560, ThinkPad T560, ThinkPad X260, ThinkPad S1 a ThinkPad Yoga 260
Mobilné zariadenia (Apple iPhone, Samsung, HTC, Nexus, LG a mnoho ďalších) s Broadcom BCM43xx Wi-Fi chipsetom
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Spoločnosť Broadcom vydala aktualizácie, ktoré riešia predmetné zraniteľnosti.
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých produktov.
Zdroje
https://support.lenovo.com/sk/en/solutions/len-17237
https://nvd.nist.gov/vuln/detail/CVE-2017-11120
https://nvd.nist.gov/vuln/detail/CVE-2017-11121
https://threatpost.com/lenovo-warns-critical-wifi-vulnerability-impacts-dozens-of-thinkpad-models/129860/
https://bugs.chromium.org/p/project-zero/issues/detail?id=1289
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on Pinterest

« Späť na zoznam