近日多位学界人员表明，在Linux、macOS、Windows和FreeBSD等电脑操作系统所应用的USB驱动器局部变量中发现了二十六个新的漏洞。这支科学研究团队由普渡大学的Hui Peng、瑞士联邦理工大学洛桑校区的Mathias Payer领着，全部漏洞全是根据她们建立的新专用工具USBFuzz发现的。

照片来自于 WiKiMedia

这类专用工具被团队组员称作“模糊不清器”（fuzzer）。模糊不清器是几款应用软件的结合，可以协助安全性研究工作人员将很多失效、出现意外或是任意数据信息键入别的应用软件。随后，安全性研究工作人员剖析被测试手机软件的个人行为 *** ，以发现新的bug，在其中一些很有可能被故意运用。

为了更好地测试USB驱动器，Peng和Payer合作开发了USBFuzz，它是一种专业用以测试当代电脑操作系统的USB驱动器局部变量的新式模糊不清器。研究工作人员表明：“其关键一部分，USBFuzz应用手机软件模拟仿真的USB机器设备来向驱动软件出示任意的机器设备数据信息（当她们实行IO实际操作时）。”

团队表明：“因为模拟仿真的USB机器设备是在机器设备方面工作中的，因而将其移殖到别的服务平台上是很立即的。”这促使研究团队不但能够在Linux上测试USBFuzz，还能够在别的电脑操作系统上开展测试。

研究工作人员表明，她们在下列服务平台上测试了USBFuzz。

● Linux核心的9个最新版：v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2（评定时的最新版）。

● FreeBSD 12 (最新版)

● MacOS 10.15 Catalina（最新版）

● Windows（8和10版本号，并安裝了全新的安全补丁）

在测试以后，研究团队表明，在USBFuzz的协助下，她们一共发现了二十六个新的bug。

研究工作人员在FreeBSD中发现了一个bug，在MacOS中发现了三个（2个造成 计划外重新启动，一个导致锁定），在Windows 8和Windows 10中发现了四个（造成 身亡电脑蓝屏）。

最比较严重的是对于Linux的，一共有18个。在其中16个是对于Linux每个分系统（USB core, USB sound和net-work）的高风险运行内存漏洞，除此之外也有一个是对于Linux的USB

host主控芯片驱动器，还有一个是USB摄像头驱动。

Peng和Payer表明，她们向Linux核心团队汇报了这种bug，并明确提出了补丁下载提议，以缓解 "核心开发者在修补汇报的漏洞时的压力"。

研究团队表明，在这里18个Linux漏洞中，有11个自上年初次汇报至今，她们收到了补丁下载。在这里11个bug中，有10个还收到了CVE，这是一个被分派给重特大安全性漏洞的唯一编码。

有关毕业论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》，能够浏览这儿 和 这儿.

宣传媒体：cnBeta.COM

难测不清楚 这么多的USB漏洞要从何“补”起?

零信任： *** 信息安全防御力构思的完全转型

Mount Locker勒索病毒方案对于税务部门总体目标进行进攻

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全：2020年勒索软件导致的财产损失升高50%