Bezpečnostní expert Stefan Viehbock ze společnosti SEC Consult Vulnerability Lab objevil v komponentě NEJUSB kritickou zranitelnost (CVE-2015–3036: http://www.kb.cert.org/vuls/id/177092), která ovlivňuje milióny routerů ale i zařízení připojených k „internetu věcí“. Tato chyba v linuxovém jádru umožňuje útočníků úspěšně použít útok typu buffer overflow.
Vienbock v praxi předvedl, že zratelnost je možné aktivovat i pomocí připojení zařízení s názvem delším než 64 znaků, které způsobí přetečení bufferu.
Nepříjemné je, že zmiňovaná komponenta NetUSB patří k velmi oblíbeným a najdete ji v miliónech zařízení obrovského množství výrobců hardwaru. Někteří výrobci (například TP-Link, Netgear a Trendnet) už připravili pro svá zařízení opravy, jiné (například D-Link) jsou stále zranitelné.
Další podrobnosti včetně kompletního seznamu hardwaru najdete na adrese http://securityaffairs.co/…sb-flaw.html
video
