USB的漏洞使Linux成為重災區(qū)

USB接口可以看作是電子產(chǎn)品中最重要的輸入和輸出接口，并且在計算機、打印機、投影儀和其他設(shè)備中起著重要的作用。 但是，USB安全接口一直是隱藏的危險。 與USB有關(guān)的安全事件很多：例如，2014年發(fā)現(xiàn)的BadUSB的主要安全漏洞使黑客能夠在沒有被發(fā)現(xiàn)的情況下將惡意軟件秘密傳輸?shù)皆O(shè)備，從而創(chuàng)建了所有USB連接，從而使設(shè)備處于危險之中。

USB接口現(xiàn)在安全嗎?事實并非如此，由普渡大學的HuiPeng和瑞士聯(lián)邦理工學院洛桑分支的MathiasPayer領(lǐng)導的研究小組通過他們創(chuàng)建的新工具USBFuzz在不同平臺上發(fā)現(xiàn)了26個新的USB安全漏洞。

USBFuzz工具是一種用于測試現(xiàn)代操作系統(tǒng)的USB驅(qū)動程序堆棧的新型模糊工具，他由多個應(yīng)用程序組成，可以幫助安全研究人員將大量無效、意外或隨機的數(shù)據(jù)輸入到其他應(yīng)用程序中。之后，安全研究人員分析被測軟件的行為，以發(fā)現(xiàn)新的bug，其中一些可能被惡意利用。

測試團隊共發(fā)現(xiàn)26個新漏洞：在MacOS中中發(fā)現(xiàn)3個，其中兩個導致意外重啟，其中一個導致系統(tǒng)凍結(jié);在Windows8和Windows10中中發(fā)現(xiàn)4個，導致藍屏。Linux系統(tǒng)中存在18個USB漏洞，其中16個是針對Linux子系統(tǒng)的高風險內(nèi)存漏洞，另一個是針對Linux的USB。

對此，Peng和Payer表示，他們向Linux內(nèi)核團隊報告了這些bug，并提出了補丁建議，以減輕“內(nèi)核開發(fā)人員修復報告的漏洞的負擔”。同時，研究小組還表示，在18個Linux漏洞中，有11個自去年第一次報告以來收到了補丁。在11個bug中中，有10個接收到CVE，這是分配給主要安全漏洞的唯一代碼。