image

Mobiele telefoons en netwerken kwetsbaar door softwarelek

woensdag 20 juli 2016, 13:52 door Redactie, 4 reacties

Een beveiligingslek in een softwarebibliotheek waar allerlei mobiele telefoons en mobiele netwerken gebruik van maken zorgt ervoor dat een aanvaller in het ergste geval het onderliggende systeem kan overnemen. Het probleem speelt in een compiler van ASN.1.

Het Abstract Syntax Notation One (ASN.1) is een technische standaard die regels bevat voor het versturen en verwerken van gegevens in telecom- en computernetwerken. Om ervoor te zorgen dat hun apparatuur en systemen met de ASN.1-standaard overweg kan maken veel fabrikanten en leveranciers van een aparte compiler gebruik. Het Amerikaanse Objective Systems ontwikkelde een dergelijke compiler genaamd ASN1C, die onder andere door bedrijven in de telecom-, datanetworking-, luchtvaart-, defensie- en wetshandhavingsector wordt gebruikt.

Een kwetsbaarheid in een softwarebibliotheek van de ASN1C-compiler maakt het mogelijk voor een aanvaller om systemen zoals mobiele telefoons, netwerken en andere systemen aan te vallen. Ook embedded software en firmware worden door de kwetsbaarheid geraakt en laten een aanvaller op afstand code uitvoeren. Inmiddels heeft Objective Systems een "interim versie" ontwikkeld waarin het probleem is verholpen. Klanten kunnen deze versie op aanvraag verkrijgen.

Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit is de apparatuur van hardwarefabrikant Qualcomm kwetsbaar. Of het probleem ook bij andere fabrikanten speelt is op dit moment onbekend. Het Nationaal Cyber Security Center (NCSC) van de overheid heeft inmiddels ook een waarschuwing voor de kwetsbaarheid afgegeven.

Reacties (4)
20-07-2016, 14:05 door Anoniem
Compiler bugs zij de hel want je moet alle source er opnieuw mee compileren en opnieuw uitrollen.
20-07-2016, 14:36 door Vandy
"Inmiddels heeft Objective Systems een "interim versie" ontwikkeld waarin het probleem is verholpen. Klanten kunnen deze versie op aanvraag verkrijgen."
Die hebben het geloof ik ook niet helemaal begrepen.
20-07-2016, 19:01 door jefdom
objective systems bestaat van1997,ze doen er wel vrij lang over.

Because ASN.1 has been an international standard since 1984, its encoding rules ... into a C or C++ or Java data structure th
at can be used by application code

ps Asn-1c is van 2013 groetjes jefdom
22-07-2016, 07:34 door Anoniem
Is het overdreven als dit een level-heartbleed overtreft ? Hopelijk komt er snel een vulnerability check voor de diverse devices.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.