חוקרי גוגל גילו לפחות שלושה באגי תוכנה בחבילת תוכנה בשימוש נרחב שעשויה לאפשר להאקרים לעשות זאת להפעיל קוד זדוני במכשירים פגיעים שבהם פועל Linux, FreeBSD, OpenBSD, NetBSD ו-macOS, כמו גם קנייניים קושחה.
Dnsmasq, כפי שהחבילה ידועה, מספקת קוד שמקל על התקנים מחוברים לתקשר באמצעות מערכת שמות מתחם וה פרוטוקול תצורת מארח דינמי. זה כלול באנדרואיד, אובונטו ורוב הפצות לינוקס אחרות, והוא יכול לרוץ גם במגוון מערכות הפעלה אחרות ובקושחה של נתב. א פוסט בבלוג שפורסם ביום שני על ידי חוקרי אבטחה עם גוגל אמרו שהם מצאו לאחרונה שבע פגיעויות ב-Dnsmasq, שלוש מהן היו פגמים שאפשרו ביצוע מרחוק של קוד זדוני.
אחד מפגמי ביצוע הקוד, המופיעים באינדקס כ-CVE-2017-14493, הוא "פגיעות טריוויאלית לניצול, מבוססת DHCP, מבוססת מחסנית של גלישת חיץ". בשילוב עם באג דליפת מידע נפרד גוגל חוקרים גילו גם, תוקפים יכולים לעקוף הגנת מפתח הידועה בשם אקראית של פריסת מרחב כתובת, שנועדה למנוע עומסים זדוניים הנכללים בניצול של מְבַצֵעַ. כתוצאה מכך, ניצולים מביאים לקריסה פשוטה, ולא לפריצה הפוגעת באבטחה. על ידי שרשרת ביצועי הקוד וניצול דליפת המידע יחדיו, התוקפים יכולים לעקוף את ההגנה כדי להפעיל כל קוד שיבחרו.
החוקרים של גוגל אמרו שהם עבדו עם המתחזק של Dnsmasq כדי לתקן את הפגיעויות בגרסה 2.78, שהיא זמין פה. החוקרים אמרו גם שאנדרואיד הושפעה מאחד הבאגים הפחות חמורים, ותיקון מופץ ב- עדכון אבטחה לאנדרואיד באוקטובר שיודחק למספר נבחר של מכשירים בשבועות הקרובים. אין אזכור אילו מערכות הפעלה במעלה הזרם המשתמשות ב-Dnsmasq מושפעות מהפגמים החמורים יותר או אם התיקונים עדיין זמינים לציבור. שש נקודות התורפה האחרות הן: CVE-2017-14491, CVE-2017-14492, CVE-2017-14494, CVE-2017-14495, CVE-2017-14496 ו-CVE-2017-13704.
הפוסט של גוגל לא מזכיר הקלות או הגנות אחרות שמשתמשים בפלטפורמות מושפעות יכולים לנקוט בזמן שהם ממתינים לתיקונים שיהיו זמינים. ניסיונות להגיע לחוקרי אבטחה עצמאיים לניתוח לא צלחו מיד. פוסט זה יעודכן אם חוקרים יגיבו לאחר שהוא יעלה לאוויר. בינתיים, על קוראים מודאגים ליצור קשר ישירות עם מנהלי התוכנה כדי לברר מתי תיקונים יהיו זמינים.
