Linux – CVE-2023-0266
Date de publication :
Date de mise à jour :
Un défaut de libération de mémoire dans le module ALSA PCM du noyau Linux permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d’obtenir les droits ring0 du système.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-416: Use After Free
Détails sur l’exploitation
• Vecteur d’attaque : Adjacent.
• Complexité de l’attaque : Élevée.
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Preuve de concept
Actuellement aucune preuve de concept n’est disponible en sources ouvertes.
Systèmes ou composants affectés
Le noyau Linux et les systèmes qui en dépendent.
Le noyau Android versions antérieures au commit cc6c5c7fa237f65b08b9618188efe4b24b9cd886.
Solutions ou recommandations
Mettre à jour le noyau Linux et les systèmes d’exploitation qui en dépendent afin d’intégrer le commit 56b88b50565cd8b946a2d00b0c83927b7ebb055e.
Mettre à jour le noyau Android afin d'integrer le commit cc6c5c7fa237f65b08b9618188efe4b24b9cd886.
Des informations complémentaires sont disponibles dans le bulletin d'Android.