ARM on paljastanut kolme haavoittuvuutta GPU-ajureissaan, joita se käyttää... Android, ChromeOS ja jakelut LinuxHaavoittuvuudet mahdollistavat etuoikeudettoman paikallisen käyttäjän suorittaa koodia kernel-oikeuksilla. Lokakuun tietoturvaraportissa alustasta, Android Mainitaan, että ennen korjauksen julkaisua hyökkääjät ovat jo hyödyntäneet yhtä haavoittuvuuksista (CVE-2023-4211) kohdennetuissa hyökkäyksissä (nollapäivähyökkäykset). Haavoittuvuutta voidaan esimerkiksi käyttää epäilyttävien lähteiden kautta levitetyissä haitallisissa sovelluksissa täyden pääsyn saamiseksi järjestelmään ja käyttäjän vakoilevien komponenttien asentamiseksi.
Löytyi haavoittuvuuksia:
- CVE-2023-4211 – Virheellisen grafiikkasuorittimen muistitoiminnon suorittaminen voi johtaa jo vapautuneeseen järjestelmämuistiin, jota voidaan käyttää suoritettaessa muita tehtäviä ytimessä. Haavoittuvuus on korjattu ohjainpäivityksessä r43p0 Malin Bifrost- ja Valhall-mikroarkkitehtuureihin perustuville GPU:ille sekä viidennen sukupolven ARM-grafiikkasuorittimille. Midgard-perheen GPU:ille ei ole julkaistu ohjainpäivitystä.
Korjaus tarjotaan myös osana Chrome OS 114/115/116:n syyskuun päivityksiä ja lokakuun päivitystä. AndroidHaavoittuvia näytönohjainmalleja käytetään älypuhelimissa, kuten Google Pixel 7, Samsung S20 ja S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro ja joissakin Mediatekin siruja sisältävissä laitteissa.
- CVE-2023-33200 – Virheelliset GPU-toiminnot voivat johtaa kilpailutilanteeseen ja kuljettajan jo vapauttaman muistin käyttöön. Haavoittuvuus korjattiin ohjainpäivityksissä r44p1 ja r45p0 Malin GPU:ille, jotka perustuvat Bifrost- ja Valhall-mikroarkkitehtuureihin, sekä viidennen sukupolven ARM-grafiikkasuorittimiin.
- CVE-2023-34970 Virheelliset GPU-toiminnot voivat johtaa puskurin ylivuotoon ja rajojen ulkopuoliseen muistin käyttöön. Haavoittuvuus korjattiin Malin GPU-ohjainpäivityksissä r44p1 ja r45p0, jotka perustuvat Valhall-mikroarkkitehtuuriin ja 5. sukupolven ARM-grafiikkasuorittimiin.
Lokakuun haavoittuvuusraporttiin sisältyi yhteensä Android Havaittiin 53 haavoittuvuutta, joista viidelle annettiin kriittinen vakavuustaso ja lopuille korkea vakavuustaso. Kriittiset ongelmat mahdollistavat etähyökkäyksen suorittaa koodia järjestelmässä. Vaarallisiksi merkityt ongelmat mahdollistavat koodin suorittamisen etuoikeutetun prosessin kontekstissa manipuloimalla paikallisia sovelluksia. Kolme kriittistä ongelmaa (CVE-2023-24855, CVE-2023-28540 ja CVE-2023-33028) tunnistettiin Qualcommin omissa komponenteissa, ja kaksi (CVE-2023-40129, CVE-2023-4863) tunnistettiin järjestelmästä (libwebp:ssä ja Bluetooth-pinossa). Yhteensä 5 haavoittuvuutta tunnistettiin ARM-komponenteissa, 3 MediaTekissä, 1 Unisocissa ja 17 Qualcommissa (Qualcommin raportti). Kaksi haavoittuvuutta (yksi ARM-näytönohjaimissa ja yksi libwebp:ssä) on merkitty hyökkääjien jo käyttämiksi hyväksikäytöissä (0 päivää).
Lähde: opennet.ru
