Maglumat howpsuzlygy boýunça Vdoo kompaniýasynyň kiberhowpsuzlyk bölüminiň hünärmenleri Realtek RTL8170C Wi-Fi moduliň birnäçe örän howply gowşaklyklaryny (CVE-2020-27301 we CVE-2020-27302) ýüze çykardylar. Olaryň ulanylmagy enjamda hukuklary artdyrmak, moduli ele geçirmek we operasion ulgamynyň root rugsadyny almak mümkinçilikleri berýär.

Realtek RTL8710C Wi-Fi moduli Arduino bilen utgaşykly işleýän Ameba programmirleme platformanyň düýbüni tutup, ol oba hojalygy, awtomobil gurluşygy, energetiki pudagy, saglygy goraýyş, senagat, howpsuzlyk we ş.m. ulgamlar üçin niýetlenen dürli IoT programmalaryny döretmek boýunça periferiýa interfeýsleri bilen üpjün edilen.

Meseleler Wi-Fi torlaryna baglanmak üçin niýetlenen düzüm bölegi ulanýan ähli ornaşdyrylan we IoT enjamlaryna täsir edýärler. Meselelerden üstünlikli peýdalanmak üçin RTL8710C moduli saklaýan enjamlar bilen birmeňzeş Wi-Fi torunda bolmagy talap edilýär.

RTL8170C Wi-Fi moduliniň WPA2 dört-taraplaýyn baglanyşygy tassyklamak (four-way handshake) mehanizmi iki sany buferiň aşa dolmagyna getirýän gowşaklyklary (CVE-2020-27301 we CVE-2020-27302) saklaýar. Bu meseleler üçin CVSS görkezijisi boýunça 8.0 derejesi berildi.

Hünärmenler Realtek kompaniýasyna tapylan meseleler barada habar berdiler. 2021-nji ýylyň ýanwar aýynyň 11-den soň çykan programma üpjünçiliginiň wersiýalary bu meseleler üçin düzedişleri saklaýarlar.

Çeşme: securitylab.ru