Vulnerabilidade de Buffer Overflow Encontrada em Sistemas FreeBSD

Pesquisadores da empresa especialista em inteligência de ameaças, Norse, identificaram uma vulnerabilidade considerada grave no FreeBSD, o sistema operacional Unix-like bastante popular que é usado em servidores, computadores desktop e plataformas embarcadas. A questão a ser tratada é uma vulnerabilidade de buffer overflow (registrada sob o CVE-2014-8611), afetando a função "__sflush ()" em operação padrão de sistemas com referência à biblioteca I/O (stdio). A falha pode ser aproveitada para causar um stack overflow, o que poderia levar a corrupção de dados ou a execução de código arbitrário, com os privilégios atrelados ao programa.


Essa vulnerabilidade encontrada no FreeBSD (na biblioteca padrão), fornece um simples e eficiente "buffered stream" com referência a interface de I/O. "Um erro de programação no padrão I/O da função desta biblioteca, que é __sflush (), poderia erroneamente ajustar o estado interno do "buffered stream" mesmo quando nenhuma gravação realmente tenha ocorrido no caso em que a chamada de sistema retornará um erro. Adrian Chadd, engenheiro sênior da Norse, e Alfred Perlstein, diretor de appliance e kernel também da Norse, descobriu a brecha de segurança durante o processo de desenvolvimento da linha de produtos da empresa. Em face disso, Chadd e Perlstein também criaram um patch para o bug, que eles enviaram para a comunidade FreeBSD.


Saiba Mais:

[1] Security Week http://www.securityweek.com/buffer-o...-found-freebsd