Исследователи безопасности из компании Cisco опубликовали отчет о уязвимости в компоненте Advanced Linux Sound Architecture (ALSA), позволяющей злоумышленнику повысить свои привилегии на целевой системе.
Уязвимость CVE-2017-15265 в ядре Linux связана с ошибкой памяти в интерфейсе секвенсора ALSA. Злоумышленник может проэксплуатировать уязвимость, запустив на системе специально созданное приложение.
По словам исследователей, уязвимость может позволить локальному злоумышленнику получить повышенные привилегии на целевой системе. Проблема вызвана ошибкой в функции snd_seq_create_port (), которая обращается к функции snd_seq_system_client_ev_port_start () с удаленным объектом порта.
Патч для данной уязвимости был выпущен 11 октября текущего года.
Хотя уязвимость является достаточно серьезной, для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой системе, что существенно снижает вероятность успешной атаки.
ALSA (Advanced Linux Sound Architecture) — архитектура звуковых драйверов, а также широкий их набор для операционной системы Linux.

Источник: securitylab.ru