Microsoft исправляет уязвимости Azure Sphere, обнаруженные Cisco

Microsoft исправляет уязвимости Azure Sphere, обнаруженные Cisco
Исследователи безопасности обнаружили множество уязвимостей в Microsoft Azure Sphere, платформе Интернета вещей для микроконтроллеров (MCU).

Эксперты Cisco Talos выявили четыре уязвимости, влияющие на подключенную к облаку и настраиваемую платформу SoC, которую Microsoft создала с учетом безопасности приложений IoT.

Проблемы были выявлены в ходе конкурса Azure Sphere Security Research Challenge – инициативы, которая уже привела к обнаружению еще одного набора уязвимостей.

Microsoft Azure Sphere состоит из защищенного, подключенного перекрестного микроконтроллера (MCU), настраиваемой высокоуровневой операционной системы (ОС) на базе Linux и облачной службы безопасности, обеспечивающей непрерывную возобновляемую безопасность.

Уязвимости могли привести к:
  • Выполнению специально созданного шелл-кода (TALOS-2020-1128), что могло привести к исполнению множества процессов после доступна для записи.
  • Выполнению другого шелл-кода (TALOS-2020-1138) могло вызвать запись в незаписываемую память процесса.
  • Две другие уязвимости, связанные с повышением привилегий (TALOS-2020-1133 и TALOS-2020-1137), могли позволить злоумышленникам получить повышенные возможности.
Microsoft уже знает об этих проблемах и выпустила версию Azure Sphere 20.08 для их устранения. Это более важное обновление, которое также обновляет ядро ​​Linux до версии 5.4.54. Представитель компании сообщил:
«Как и прежде, во время нашего конкурса Azure Sphere Security Research Challenge, Cisco Talos продолжает находить новые уязвимости, и у нас есть последний патч для цепочки атак, который использовала McAfee ATR».

К счастью, такого рода уязвимости не должны касаться непосредственно обычных пользователей. Хотя Microsoft Azure Sphere является одним из основных решений, используемых для защиты устройств Интернета вещей потребителей. Безопасность Интернета вещей остается огромной проблемой в отрасли, поскольку большинство производителей игнорируют поддержку после запуска.
Microsoft Cisco Cisco Talos уязвимость уязвимости
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Bitdefender Россия

Bitdefender является производителем программных продуктов для обеспечения информационной безопасности. Решения Bitdefender защищают сотни миллионов домашних и корпоративных пользователей во всем мире. Программные средства защиты от вирусов Bitdefender распространяются через партнерскую сеть компании более чем в 100 странах.