На прошлой неделе были раскрыты подробности двенадцати уязвимостей, носящих общее название Frag Attacks (Fragmentation and aggregation attacks). Эти проблемы обнаружил и описал известный ИБ-эксперт Мэти Ванхоф (Mathy Vanhoef).

Перед Frag Attacks уязвимы все устройства с поддержкой Wi-Fi (компьютеры, смартфоны и «умные» девайсы), выпущенные после 1997 года.

Баги позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Хуже того, уязвимости актуальны даже в том случае, если активна защита WEP и WPA. К счастью, по словам Ванхофа, большинством уязвимостей трудно воспользоваться, так как это потребует взаимодействия с пользователем или же атака будет возможна только при использовании весьма нестандартных сетевых настроек.

Тем не менее, работа над исправлением уязвимостей ведется и активно и довольно давно. В течение последних девяти месяцев Ванхоф и специалисты WiFi Alliance совместно работали над исправлением стандартов Wi-Fi и сотрудничали с поставщиками устройств, чтобы скорее подготовить патчи.

Если на прошлой неделе информации о патчах было совсем мало, то теперь заявления и бюллетени безопасности подготовили многие крупные вендоры и разработчики:

1 комментарий

  1. Аватар

    0d8bc7

    18.05.2021 в 01:23

    Можно, пожалуйста, подробнее: «выполнение вредоносного кода» это самый настоящий RCE или просто MITM со вставкой на загружаемую веб-страницу JavaScript (в т.ч., возможно, приводящего к RCE, но дыры в браузерах — отдельная тема)?

Оставить мнение