В драйверах для беспроводных чипов Broadcom выявлено (https://blog.quarkslab.com/reverse-engineering-broadcom-wire...) четыре уязвимости (https://www.kb.cert.org/vuls/id/166939/). В простейшем случае уязвимости могут использоваться для удалённого вызова отказа в обслуживании, но не исключаются и сценарии, при которых могут быть разработаны эксплоиты, позволяющие неаутентифицированному злоумышленнику выполнить свой код с привилегиями ядра Linux через отправку специальным образом оформленных пакетов.
Проблемы были выявлены в ходе обратного инжиниринга прошивок Broadcom. Подверженные уязвимостям чипы широко используются в ноутбуках, смартфонах и различных потребительских устройствах, от SmartTV до устройств интернета вещей. В частности, чипы Broadcom применяются в смартфонах таких производителей, как Apple, Samsumg и Huawei. Примечательно, что компания Broadcom была уведомлена об уязвимостях ещё в сентябре 2018 года, но на скоординированный с производителями оборудования выпуск исправлений понадобилось около 7 месяцев.Две уязвимости затрагивают внутренние прошивки и потенциально позволяют выполнить код в окружении используемой в чипах Broadcom операционной системы, что позволяет атаковать окружения не использующие Linux (например, подтверждена возможность совершения атаки на устройства Apple, CVE-2019-8564 (https://support.apple.com/en-us/HT209600)). Напомним, что некоторые Wi-Fi чипы Broadcom представляют собой специализированный процессор (ARM Cortex R4 или M3), на котором выполнятся подобие своей операционной системы с реализаций своего беспроводного стека 802.11 (FullMAC). В таких чипах драйвер обеспечивает взаимодействие основной системы с прошивкой Wi-Fi чипа. Для получения полного контроля за основной системой после компрометации FullMAC предлагается использовать дополнительные уязвимости или на некоторых чипах воспользоваться наличием полного доступа к системной памяти. В чипах с SoftMAC беспроводной стек 802.11 реализован на стороне драйвера и выполняется с применением системного CPU.
В драйверах уязвимости проявляются как в проприетарном драйвере wl (SoftMAC и FullMAC), так и в открытом brcmfmac (FullMAC). В wl выявлено два переполнения буфера, эксплуатируемые при передаче точкой доступа специально оформленных сообщений EAPOL в процессе согласования соединения (атака может быть совершена при подключении к вредоносной точке доступа). В случае чипа с SoftMAC уязвимости приводят к компрометации ядра системы, а в случае FullMAC код может быть выполнен на стороне прошивки. В brcmfmac присутствуют переполнение буфера и ошибка проверки обрабатываемых кадров, эксплуатируемые через отправку управляющих кадров. В ядре Linux проблемы в драйвере brcmfmac были (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) устранены (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в феврале.
Выявленные уязвимости:
- CVE-2019-9503 - некорректное поведение драйвера brcmfmac при обработке управляющих кадров, используемых для взаимодействия с прошивкой. Если кадр с событием прошивки поступает из внешнего источника драйвер его отбрасывает, но в случае если событие получено по внутренней шине, кадр пропускается. Проблем в том, что через внутреннюю шину передаются события от устройств, использующих USB, что позволяет атакующим успешно передавать управляющие прошивкой кадры в случае использования беспроводных адаптеров с интерфейсом USB;- CVE-2019-9500 - при включении функции "Wake-up on Wireless LAN", через отправку специально изменённого управляющего кадра можно вызвать переполнение кучи в драйвере brcmfmac (функция brcmf_wowl_nd_results). Данная уязвимость может использоваться для организации выполнения кода в основной системе после компрометации чипа или в комбинации с уязвимостью CVE-2019-9503 для обхода проверок в случае удалённой отправки управляющего кадра;
- CVE-2019-9501 - переполнение буфера в драйвере wl (функция wlc_wpa_sup_eapol), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 32 байта;
- CVE-2019-9502 - переполнение буфера в драйвере wl (функция wlc_wpa_plumb_gtk), возникающее при обработке сообщений, содержимое поля с информацией о производителе в которых превышает 164 байта.
URL: https://blog.quarkslab.com/reverse-engineering-broadcom-wire...
Новость: https://www.opennet.me/opennews/art.shtml?num=50539
Никогда не любил эту контору.
Ура, проприетарный драйвер обновят! Два года ждал!
Нет, это ты купишь себе новое устройство.
Теперь ждём пока прошивки доберутся до производителей ноутов, а те, в свою очередь их оттестируют, включат в новые биос-обновления, раздадут юзерам...
Прошивка WiFi-чипа подгружается драйвером и распространяется вместе с ним.
Atheros наше всё. Bcm пакость редкая, помню по powerbook ещё
Это ваш PowerBook был дерьмом редкостным как и остальные пк от Эпл, впрочем.
>Atheros наше всёУ вас очепятка в слове Intel.
у интела несвободные фирмвари, а у Atheros ath9k - и драйвера и фирмвари опенсорсные
А остались ещё в продаже железки под ath9k?
>ath9kНу так найди мне такую в продаже, а вот интел я найду легко
На алиэкспрессе их сотни.
>у интела несвободные фирмвариИ что из этого следует? Зато работает!
Проприетарные дрова от Broadcom тоже "зато работают" - только вот дырявые! И в несвободных фирмварях интеля наверняка тоже скрываются дыры, возможно даже преднамеренные: если исходники закрыты, значит есть что скрывать.
> Bcm пакость редкаяА в чём это выражается, если не секрет? Помимо того, что зачастую нужен проприпретарный broadcom-wl?
Пакость например кроется в дырах, про которые новость. Проприетарщина зачастую просто кишит дырами!
И на роутеры они сурсы жмут и тут всякая бяка лазает. Atheros такого себе не позволяет :).
Семен Семеныч, Вас прекрасно поняли и с первого раза
Ну под macOS обновление то прилетело.
А если у меня Apple Airport, то там как? 😮
шеф, всё пропало!
Элоп уладил разногласия с бродкомовской берестой.
Можете сходить к своим пассивненьким рубистам.
Дождаться обновления firmware для вашего AirPort, если там вообще установлен такой чип.
Там через одну из дыр обновление прилетит.
Na El Capitan ne pridet :(
Люди которые нашли эту брешь называют ее уязвимостью, а люди которые ее придумали и внедрили - бэкдор, но правду не узнает никто, ведь большому брату нужно как-то наблюдать за подаванами...
за стадом. "подаван" - это, вроде как, ученик.
Подаван — это тот, кто подаёт. Не знаю вот только, кушать, мяч или милостыню.
Ученик джедая — падаван.
Купил себе хомяк за 1к$ новенький флагман. Идёт по улице довольный, улыбка до ушей, а его уже поимели^W взломали все, кому не лень через удалённую уязвимость в ви-фи чипах от Броадком(такая приятная пасхалка). Отсюда вывод, нет ничего лучше, чем новенькая, кнопочная Нокия, данные и нервы целы, да и спится по ночам как-то спокойнее)
Нокия из нулевых, если у кого сохранилась, даже лучше. Тогда слежка за пользователями ещё не успела набрать такие обороты.
Один нюанс: Nokia погибла под давлением жизни. А так, все хорошо...
>под давлением жизниэто так теперь Microsoft и китайская гебня называются?
А уж как хорош домашний проводной телефон... отключенный за неуплату. Спокойствие, только спокойствие.
Так давно не сталкивался с wl, что думал, он давно издох. Оказывается, это просто я так хорошо научился обходить его стороной.
Хы... А как насчёт иконы опенсорсного хардваре по имени "малинкапай"?
А там нет WiFi. Там другие дыры, ширше и глубже.
Есть там WiFi в 3 модели. И хз чего с ним, надо смотреть.
Б**дь
brcmfmac
Выгрузил нафиг от греха подальше.
"Аналогичная проблема у Raspberry Pi, где CPU и GPU встроены в тот же чип BCM2837B0. Центральный процессор представляет собой 64-разрядный ARM A53 на 1400 МГц (в Pi 3B), а графический — двухъядерный 32-разрядный VideoCore IV с частотой 400 МГц. Интеграция CPU и GPU популярна в мобильном мире, потому что снижает цену и энергопотребление. ""Таким образом, в последнем Pi шесть ядер, но только четыре из них ARM. На процессоре работает Linux, но вас может удивить, что Linux на данном устройстве — гражданин второго класса. Ядра GPU работают под управлением операционной системы реального времени ThreadX. Эта ОС с закрытыми исходниками управляет системой без ведома ядра Linux."
"Когда GPU позволит CPU загрузить ядро Linux, он не просто уходит со сцены, работая лишь как графический процессор. Нет, GPU по-прежнему главный. Вы когда-нибудь думали, кто выводит эти логотипы, когда Pi подключается к HDMI? Или эти символы молнии или температуры в предупреждающих значках? Вот именно, это делает система ThreadX на GPU, а Linux вообще не знает, что происходит."
Если эта информация верна, в малинке с опенсорсом дела не очень хорошо обстоят, как и с безопасностью.
Так известо, что Pi - махровая броадкомовская проприетарь по чипу. Фирмварь видеопроцессора закрытая.
> опенсорсного хардварелооооооооооооол. где можно скачать схему PCB?
к слову у китайских плат на аллвиннерах тоже бродкомы в качеству вифи. но там не brcmfmac, а какой-то ap6210. они тоже дырявые?
Харе уже пилить уязвимости
ath, конечно, хорошо, но, вот, кто его ID-шники впилит мне в UEFI? Всякие Асусы-Леновы не любят, когда в них что-то несертифицированное пихают!
И что, грузиться отказываются?
Отказываются, но проблему можно решить или выпиливанием Whitelist - или, если это сложно, хотя бы заменой ID-шников "одобренного" WiFi в этом вайтлисте на ID того что хотите поставить.
Спасибо за информацию! А кого ещё ловили за руку на таком DRM (кроме Dell и, до Lenovo, IBM)? Если можно, хотелось бы ссылок (но если опытом поделитесь - тоже прекрасно).
Чёрный список компаний стал на одну больше :-(
А не проще ли вести белый список? Кого еще НЕ ловили за руку?
Огласите пожалуйста, люди добрые. кто следил за новостями? Ась? Нетути?..
Все пакостят понемногу, но проблема решается небольшим модом UEFI (см. выше) - или сами отмодьте, или обратитесь на биос модс - вам там помогут
> Спасибо за информацию! А кого ещё ловили за руку на таком DRM
> (кроме Dell и, до Lenovo, IBM)? Если можно, хотелось бы ссылок
> (но если опытом поделитесь - тоже прекрасно).
> Чёрный список компаний стал на одну больше :-(Это зря - whitelist есть практически у всех. Почему? А потому что FCC (местный РКН) сертифицирует ноут целиком и за большие деньги чтобы допустить на рынок. Сертифицировать ноут со всеми возможными адаптерами нереально. А уж с ещё не существующими - и подавно. Вот такая СШАшка.
> FCC (местный РКН) сертифицирует ноут целиком и за большие деньги чтобы
> допустить на рынок. Сертифицировать ноут со всеми возможными адаптерами нереально. А
> уж с ещё не существующими - и подавно. Вот такая СШАшка.Интересно было узнать о причинах. Но наличие незалоченных вариантов в американской рознице (и от американских брэндов) намекает, что так делать необязательно.
А Toshiba (о подобном за-DRM'ливании которой узнал по ссылке из сегодняшней новости о RYF-железках) прогибается под FCC, японский аналог, или всё-таки хочет нажиться на переферии, как Dell в той истории с серверными ЖД на IThappens? :I
Это тот же BroadPwn или другая уязвимость?