Denis Selianin z Embedi opublikował sposób wykorzystania luki w systemach czasu rzeczywistego opartego o ThreadX. Luka pozwala na zdalne wykonanie kodu (RCE) bez interakcji użytkownika. ThreadX? Nie znam. To na pewno nie na moim sprzęcie. ThreadX to system czasu rzeczywistego wykorzystywany w oprogramowaniu układowym (firmware) wielu urządzeń, także układów zintegrowanych do komunikacji bezprzewodowej (WiFi/Bluetooth/NFC). Na stronie producenta podana jest liczba … 6,2 miliarda urządzeń używających ThreadX. Badacz bezpieczeństwa postanowił „wziąć na warsztat” układ Marvell 88W8897, który działa właśnie w oparciu o ThreadX. Jest to bardzo popularny chip instalowany w wielu urządzeniach znanym głównie graczom. SteamLink, Surface, Chromebook, Xbox, Playsation, Galaxy…
Mierzymy bezpieczeństwo