- 13,579
- 20
- 8 Ноя 2022
Новые уязвимости в Wpa_supplicant и IWD ставят под вопрос безопасность миллионов пользователей.
В недрах открытого программного обеспечения обнаружены новые уязвимости, ставящие под угрозу безопасность бесчисленного числа корпоративных и домашних сетей Wi-Fi. Эти уязвимости открывают двери для атак, позволяя хакерам обходить процедуры аутентификации.
Мати Ванхоф, профессор бельгийского университета KU Leuven, и его студентка Элоиз Голлье, совместно с компанией Top10VPN , специализирующейся на тестировании виртуальных частных сетей, Для просмотра ссылки Войдиили Зарегистрируйся сразу 2 уязвимости: одну в программном обеспечении Wpa_supplicant и ещё одну в iNet Wireless Daemon (IWD) от Intel.
Сам профессор Ванхоф известен своими исследованиями в области безопасности Wi-Fi, включая такие атаки, как KRACK, Dragonblood и FragAttacks.
Wpa_supplicant, поддерживающий стандарты WPA, WPA2 и WPA3, используется во всех устройствах Android, большинстве устройств Linux и операционной системе ChromeOS, предустановленной на лэптопах Chromebook.
Уязвимость в Wpa_supplicant, получившая обозначение Для просмотра ссылки Войдиили Зарегистрируйся , может быть использована для атак на пользователей корпоративных сетей Wi-Fi. Злоумышленник может обманом подключить жертву к вредоносной сети Wi-Fi, маскируясь под легитимную корпоративную сеть, и перехватывать все передаваемые данные.
Исследователи указывают, что для эксплуатации уязвимости не требуется взаимодействие с пользователем, но атакующий должен находиться в пределах действия сети жертвы и знать SSID сети, к которой жертва ранее подключалась.
Вторая уязвимость, найденная в iNet Wireless Daemon и обозначенная как Для просмотра ссылки Войдиили Зарегистрируйся , может быть использована для доступа к домашним или малым корпоративным сетям Wi-Fi. Это открывает возможности для подключения к Интернету, атак на другие устройства в сети, перехвата конфиденциальных данных и распространения вредоносного ПО.
Исследователи сообщили, что уязвимость позволяет пропустить части процесса аутентификации, позволяя злоумышленнику подключиться к сети без знания пароля.
<style> .responsive-video { position: relative; padding-bottom: 56.25%; padding-top: 25px; height: 0; } .responsive-video iframe { position: absolute; top: 0; left: 0; width: 100%; height: 100%; }</style>
<div class="responsive-video"><iframe width="560" height="315" src="
" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen=""></iframe>
Демонстрация новых уязвимостей
Поставщики ПО уже проинформированы об этих недостатках безопасности. Google выпустил обновление для ChromeOS версии 118, устраняющее уязвимость, а пользователи Android тоже скоро должны будут получить соответствующие исправления.
Для Linux исправление также уже доступно, однако его распространение зависит от разработчиков дистрибутивов. Меры по смягчению последствий в Для просмотра ссылки Войдиили Зарегистрируйся тоже были предоставлены.
В недрах открытого программного обеспечения обнаружены новые уязвимости, ставящие под угрозу безопасность бесчисленного числа корпоративных и домашних сетей Wi-Fi. Эти уязвимости открывают двери для атак, позволяя хакерам обходить процедуры аутентификации.
Мати Ванхоф, профессор бельгийского университета KU Leuven, и его студентка Элоиз Голлье, совместно с компанией Top10VPN , специализирующейся на тестировании виртуальных частных сетей, Для просмотра ссылки Войди
Сам профессор Ванхоф известен своими исследованиями в области безопасности Wi-Fi, включая такие атаки, как KRACK, Dragonblood и FragAttacks.
Wpa_supplicant, поддерживающий стандарты WPA, WPA2 и WPA3, используется во всех устройствах Android, большинстве устройств Linux и операционной системе ChromeOS, предустановленной на лэптопах Chromebook.
Уязвимость в Wpa_supplicant, получившая обозначение Для просмотра ссылки Войди
Исследователи указывают, что для эксплуатации уязвимости не требуется взаимодействие с пользователем, но атакующий должен находиться в пределах действия сети жертвы и знать SSID сети, к которой жертва ранее подключалась.
Вторая уязвимость, найденная в iNet Wireless Daemon и обозначенная как Для просмотра ссылки Войди
Исследователи сообщили, что уязвимость позволяет пропустить части процесса аутентификации, позволяя злоумышленнику подключиться к сети без знания пароля.
<style> .responsive-video { position: relative; padding-bottom: 56.25%; padding-top: 25px; height: 0; } .responsive-video iframe { position: absolute; top: 0; left: 0; width: 100%; height: 100%; }</style>
<div class="responsive-video"><iframe width="560" height="315" src="
Демонстрация новых уязвимостей
Поставщики ПО уже проинформированы об этих недостатках безопасности. Google выпустил обновление для ChromeOS версии 118, устраняющее уязвимость, а пользователи Android тоже скоро должны будут получить соответствующие исправления.
Для Linux исправление также уже доступно, однако его распространение зависит от разработчиков дистрибутивов. Меры по смягчению последствий в Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
