Il y a à peine un jour sans une nouvelle vulnérabilité. CVE-2019-9019 est une faille de sécurité dans le système de divertissement British Airways qui affecte Boeing 777-36N (IS) et peut-être d'autres avions, trop. Le type de la vulnérabilité est une escalade de privilège qui se trouve dans le gestionnaire USB composant.
CVE-2019-9019 Présentation technique
Voici CVE-2019-9019 Description officielle:
British Airways Entertainment System, tel qu'il est installé sur Boeing 777-36N(IS) et éventuellement d'autres aéronefs, n'empêche pas la charge USB / fonction de transfert de données d'interagir avec le clavier USB et souris, qui permet à proximité de physique attaquants de mener des attaques imprévues contre des applications de divertissement, comme l'a démontré à l'aide d'actions de copier-coller avec la souris pour déclencher un dépassement de mémoire tampon Tchatche ou ont peut-être d'autres effets non précisé.
Comme déjà mentionné le système de divertissement vulnérable est installé sur Boeing 777-36N(IS) , mais d'autres modèles peuvent également être affectés. Il convient de noter que l'attaque est possible au niveau local, sans aucune forme d'authentification requise pour l'exploitation. En ce moment, il n'y a ni les détails techniques ni un exploit public, les chercheurs en sécurité dire.
Le prix actuel pour un exploit est d'environ $ 25k $ 5k- (estimation calculée 02/23/2019). La vulnérabilité CVE-2019-9019 est décrite comme ayant un impact historique en raison de son arrière-plan et la réception.
Comme il n'y a jusqu'à présent aucune contre-mesures connues, une bonne idée peut être de remplacer le système affecté avec un produit de remplacement.
Il n'y a pas d'informations sur les contre-mesures possibles connues. Il peut être suggéré de remplacer l'objet concerné par un produit alternatif.
Il est important de noter que les systèmes de divertissement sont des éléments cruciaux dans l'aviation, et ils pourraient être utilisés comme points d'entrée pour les attaquants dans les différents scénarios. Ce ne sont pas les premières vulnérabilités de temps affectant les avions sont découverts. Il y a quelques années, un chercheur en sécurité a découvert des vulnérabilités dans Panasonic Avionics divertissement en vol, connu sous le nom de systèmes IFE.
Les systèmes IFE sont utilisés par de nombreuses compagnies aériennes, dont United Airlines, american Airlines, Virgin Atlantic, et Air France. Ces vulnérabilités pourraient permettre à des pirates de contrôler ce que les passagers voient et entendent sur leur affichage en vol.