В апреле 2018 года было объявлено о трех новых уязвимостях польской фирмы по безопасности iSec Security Research в ядре Linux, которое может позволить злоумышленнику повысить свои привилегии на машине и выполнить программы в качестве администратора root.
Open Source и Microsoft
Microsoft была уведомлена EEye Digital Security о недостатках с их внедрением ASN.1 за восемь месяцев до того, как они объявили об этой уязвимости публично и выпустили патч. Это были восемь месяцев, в течение которых плохие парни могли обнаружить и использовать недостатки.
Открытый исходный код имеет тенденцию к быстрому исправлению и обновлению. Существует так много разработчиков, имеющих доступ к исходному коду, который, как только обнаруживается ошибка или уязвимость, и объявляется, что исправление или обновление выпущено как можно быстрее. Linux ошибочен, но сообщество с открытым исходным кодом, похоже, гораздо быстрее реагирует на возникающие проблемы и реагирует на соответствующие обновления намного быстрее, чем пытается похоронить существование этой уязвимости, пока не столкнется с ней.
При этом пользователи Linux должны знать об этих новых уязвимостях и быть уверенными, что они будут получать информацию о последних исправлениях и обновлениях от своих соответствующих поставщиков Linux. Одно из предостережений с этими недостатками заключается в том, что они не могут использоваться удаленно. Это означает, что для атаки системы, использующей эти уязвимости, требуется, чтобы злоумышленник имел физический доступ к машине.
Многие эксперты по безопасности согласны с тем, что после того, как злоумышленник имеет физический доступ к компьютеру, перчатки отключены, и почти любая защита может быть в конечном итоге обойдена. Это уязвимости, которые могут быть подвергнуты удаленному использованию уязвимостей, которые могут быть атакованы из систем, находящихся далеко или за пределами локальной сети, которые представляют наибольшую опасность.
