新しい脆弱性がない日はほとんどありません. CVE-2019-9019は、ボーイング777-36Nに影響を与えるブリティッシュエアウェイズエンターテインメントシステムのセキュリティ上の欠陥です。 (ER) そしておそらく他の航空機, それも. 脆弱性のタイプは、コンポーネントのUSBハンドラーにある特権昇格です。.
CVE-2019-9019技術概要
これがCVE-2019-9019の公式説明です:
ブリティッシュ・エアウェイズのエンターテインメントシステム, ボーイング777-36Nに搭載されている(ER) そしておそらく他の航空機, USB充電/データ転送機能がUSBキーボードおよびマウスデバイスと相互作用するのを妨げません, これにより、物理的に近接した攻撃者がエンターテインメントアプリケーションに対して予期しない攻撃を行うことができます, マウスのコピーアンドペーストアクションを使用してチャットバッファオーバーフローをトリガーするか、その他の不特定の影響を与える可能性があることによって示されるように.
すでに述べたように、脆弱なエンターテインメントシステムはボーイング777-36Nにインストールされています(ER) , ただし、他のモデルも影響を受ける可能性があります. 攻撃はローカルレベルで可能であることに注意する必要があります, 悪用に必要な認証の形式はありません. この時点で, 技術的な詳細も公開されているエクスプロイトもありません, セキュリティ研究者 いう.
エクスプロイトの現在の価格は約5,000ドルから25,000ドルです (で計算された見積もり 02/23/2019). CVE-2019-9019の脆弱性は、その背景と受容により歴史的な影響を及ぼしていると説明されています.
これまでのところ既知の対策がないため, 影響を受けるシステムを代替製品と交換することをお勧めします.
既知の可能な対策に関する情報はありません. 影響を受けるオブジェクトを代替製品と交換することが提案される場合があります.
エンターテインメントシステムは航空の重要なコンポーネントであることに注意することが重要です, また、さまざまなシナリオで攻撃者のエントリポイントとして使用される可能性があります. 航空機に影響を与える脆弱性が発見されたのはこれが初めてではありません. 2〜3年前, セキュリティ研究者がパナソニックアビオニクスの機内エンターテインメントの脆弱性を発見, IFEシステムとして知られています.
IFEシステムは、ユナイテッド航空を含む多くの航空会社で使用されています, アメリカン航空, ヴァージンアトランティック航空, とエールフランス. この脆弱性により、攻撃者は乗客が機内ディスプレイで見たり聞いたりする内容を制御できる可能性があります。.