ARM hat trije kwetsberheden yn har GPU-bestjoerders iepenbiere dy't brûkt wurde yn Android, ChromeOS en distribúsjes LinuxDe kwetsberheden meitsje it mooglik foar in net-privileezjeare lokale brûker om koade út te fieren mei kernelprivileezjes. Yn it feiligensrapport fan oktober op it platfoarm, Android Der wurdt neamd dat foardat de patch útbrocht wurdt, ien fan 'e kwetsberheden (CVE-2023-4211) al eksploitearre is troch oanfallers yn wurkjende exploits foar rjochte oanfallen (zero-day). Bygelyks, de kwetsberens kin brûkt wurde yn kweade applikaasjes dy't ferspraat wurde fia twifele boarnen om folsleine tagong ta it systeem te krijen en komponinten te ynstallearjen dy't de brûker bespionearje.
Fûne kwetsberens:
- CVE-2023-4211 - It útfieren fan in ferkearde GPU-ûnthâldoperaasje kin resultearje yn tagong ta al befrijde systeemûnthâld, dat koe wurde brûkt by it útfieren fan oare taken yn 'e kernel. De kwetsberens is fêst yn stjoerprogramma-fernijing r43p0 foar Mali GPU's basearre op Bifrost- en Valhall-mikroarsjitektueren, lykas ARM GPU's fan 5e generaasje. Gjin driverupdate is frijjûn foar Midgard-famylje GPU's.
De oplossing wurdt ek oanbean as ûnderdiel fan 'e septimber-updates foar Chrome OS 114/115/116 en de oktober-update. AndroidKwetsbere GPU-modellen wurde brûkt yn smartphones lykas de Google Pixel 7, Samsung S20 en S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro, en guon apparaten mei Mediatek-chips.
- CVE-2023-33200 - Ferkearde GPU-operaasjes kinne liede ta in racebetingst en tagong ta ûnthâld dat al is befrijd troch de bestjoerder. De kwetsberens waard reparearre yn stjoerprogramma-updates r44p1 en r45p0 foar Mali GPU's basearre op Bifrost en Valhall mikroarsjitektueren, lykas ARM GPU's fan 5e generaasje.
- CVE-2023-34970 Unjildich GPU-operaasjes kinne liede ta in bufferoerstream en tagong fan ûnthâld bûten de grinzen. De kwetsberens waard reparearre yn driverupdates r44p1 en r45p0 foar Mali GPU's basearre op de Valhall-mikroarsjitektuer en 5e generaasje ARM GPU's.
Yn totaal omfette it kwetsberensrapport fan oktober Android 53 kwetsberheden waarden neamd, wêrfan 5 in kritysk earnstnivo tawiisd krigen, en de rest in heech earnstnivo. Krityske problemen meitsje it mooglik foar in oanfal op ôfstân om koade op it systeem út te fieren. Problemen dy't as gefaarlik markearre binne, meitsje koade-útfiering mooglik yn 'e kontekst fan in privilegearre proses troch it manipulearjen fan lokale applikaasjes. Trije krityske problemen (CVE-2023-24855, CVE-2023-28540, en CVE-2023-33028) waarden identifisearre yn proprietêre Qualcomm-komponinten, en twa (CVE-2023-40129, CVE-2023-4863) waarden identifisearre yn it systeem (yn libwebp en yn 'e Bluetooth-stack). Yn totaal waarden 5 kwetsberheden identifisearre yn ARM-komponinten, 3 yn MediaTek, 1 yn Unisoc, en 17 yn Qualcomm (rapport fan Qualcomm). Twa kwetsberheden (ien yn ARM GPU's en ien yn libwebp) binne markearre as al brûkt troch oanfallers yn har exploits (0-dagen).
Boarne: opennet.ru
