Sa Qmage image processor nga gihatag sa Samsung Android firmware, nga gitukod sa Skia graphics rendering system,
Ang problema gituohan nga anaa na sukad sa 2014, sugod sa firmware nga gibase sa Android 4.4.4, nga nagdugang sa mga kausaban sa pagdumala sa dugang nga QM, QG, ASTC ug PIO (PNG variant) nga mga format sa imahe. Pagkahuyang
Ang problema giila sa panahon sa fuzz testing sa usa ka engineer gikan sa Google, nga nagpamatuod usab nga ang kahuyang dili limitado sa mga crash ug nag-andam sa usa ka nagtrabaho nga prototype sa usa ka pagpahimulos nga nag-bypass sa proteksyon sa ASLR ug naglansad sa calculator pinaagi sa pagpadala sa usa ka serye sa mga mensahe sa MMS sa usa ka Samsung. Ang Galaxy Note 10+ nga smartphone nga nagpadagan sa platform nga Android 10.
Sa gipakita nga panig-ingnan, ang malampuson nga pagpahimulos nanginahanglan gibana-bana nga 100 minuto aron atakehon ug ipadala ang kapin sa 120 nga mga mensahe. Ang pagpahimulos naglangkob sa duha ka bahin - sa unang yugto, sa pag-bypass sa ASLR, ang base nga adres gitino sa libskia.so ug libhwui.so nga mga librarya, ug sa ikaduhang yugto, ang hilit nga pag-access sa device gihatag pinaagi sa paglunsad sa "reverse kabhangβ. Depende sa layout sa memorya, ang pagtino sa base nga adres nagkinahanglan sa pagpadala gikan sa 75 ngadto sa 450 ka mga mensahe.
Dugang pa, kini mahimong matikdan
- Ang CVE-2020-0096 usa ka lokal nga kahuyang nga nagtugot sa pagpatuman sa code sa pagproseso sa usa ka espesyal nga gidisenyo nga file);
- Ang CVE-2020-0103 usa ka hilit nga kahuyang sa sistema nga nagtugot sa pagpatuman sa code sa pagproseso sa espesyal nga gidisenyo nga eksternal nga datos);
- Ang CVE-2020-3641 usa ka pagkahuyang sa mga proprietary nga sangkap sa Qualcomm).
Source: opennet.ru