Tha ARM air trì so-leòntachd fhoillseachadh anns na draibhearan GPU aige a thathas a’ cleachdadh ann an sgaoilidhean Android, ChromeOS agus Linux. Tha na so-leòntachd a’ leigeil le neach-cleachdaidh ionadail gun bhuannachd an còd aca a chuir an gnìomh le còraichean kernel. Tha aithisg san Dàmhair air cùisean tèarainteachd ann an àrd-ùrlar Android a’ toirt iomradh, mus bi fuasgladh ri fhaighinn, gu bheil aon de na so-leòntachd (CVE-2023-4211) mu thràth air a chleachdadh le luchd-ionnsaigh ann an gnìomhan obrach gus ionnsaighean cuimsichte (0-latha) a dhèanamh. . Mar eisimpleir, faodar an so-leòntachd a chleachdadh ann an tagraidhean droch-rùnach air an sgaoileadh tro stòran amharasach gus làn chothrom fhaighinn air an t-siostam agus cuir a-steach co-phàirtean a bhios a’ spionadh air an neach-cleachdaidh.
So-leòntachd a chaidh a lorg:
- CVE-2023-4211 - Le bhith a’ coileanadh gnìomhachd cuimhne GPU ceàrr dh’ fhaodadh cothrom fhaighinn air cuimhne siostam a chaidh a shaoradh mar-thà, a ghabhadh a chleachdadh fhad ‘s a tha e a’ coileanadh gnìomhan eile san kernel. Tha an so-leòntachd stèidhichte ann an ùrachadh draibhearan r43p0 airson Mali GPUs stèidhichte air microarchitectures Bifrost agus Valhall, a bharrachd air GPUs ARM ginealach 5th. Cha deach ùrachadh draibhear sam bith fhoillseachadh airson GPUs teaghlach Midgard.
Tha am fuasgladh cuideachd air a thabhann mar phàirt de na h-ùrachaidhean san t-Sultain gu meuran Chrome OS 114/115/116 agus ùrachadh Android an Dàmhair. Thathas a’ cleachdadh modalan GPU so-leònte ann am fònaichean sgairteil Google Pixel 7, Samsung S20 agus S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro , Reno 8 Pro agus cuid de dh’ innealan le chips Mediatek.
- CVE-2023-33200 - Faodaidh gnìomhachd GPU ceàrr leantainn gu suidheachadh rèis agus ruigsinneachd air cuimhne a chaidh a shaoradh leis an draibhear mu thràth. Chaidh an so-leòntachd a shuidheachadh ann an ùrachaidhean draibhearan r44p1 agus r45p0 airson Mali GPUs stèidhichte air microarchitectures Bifrost agus Valhall, a bharrachd air GPUs ARM ginealach 5th.
- CVE-2023-34970 Faodaidh gnìomhachd GPU neo-iomchaidh leantainn gu tar-shruth bufair agus ruigsinneachd cuimhne taobh a-muigh crìochan. Chaidh an so-leòntachd a shuidheachadh ann an ùrachaidhean draibhearan r44p1 agus r45p0 airson Mali GPUs stèidhichte air microarchitecture Valhall agus GPUs ARM ginealach 5th.
Gu h-iomlan, thug aithisg an Dàmhair air so-leòntachd ann an Android iomradh air 53 so-leòntachd, agus chaidh ìre èiginneach de chunnart a thoirt do 5 so-leòntachd, agus chaidh ìre àrd de chunnart a thoirt don chòrr. Leigidh cùisean èiginneach leat ionnsaigh iomallach a chuir air bhog gus do chòd a chuir an gnìomh air an t-siostam. Tha cùisean a tha comharraichte mar chunnartach a’ ceadachadh còd a chur an gnìomh ann an co-theacs pròiseas sochair tro bhith a’ làimhseachadh thagraidhean ionadail. Chaidh trì cùisean èiginneach (CVE-2023-24855, CVE-2023-28540 agus CVE-2023-33028) a chomharrachadh ann an co-phàirtean seilbhe Qualcomm agus dhà (CVE-2023-40129, CVE-2023-4863) san t-siostam (ann an libwebp agus Bluetooth -stack). Gu h-iomlan, chaidh so-leòntachd 5 a chomharrachadh ann an co-phàirtean ARM, MediaTek - 3, Unisoc - 1 agus Qualcomm - 17 (aithisg bho Qualcomm). Tha dà chugallachd (aon ann an ARM GPUs agus aon ann an libwebp) air an toirt fa-near mar a chleachd luchd-ionnsaigh mar-thà nan gnìomhan (0-latha).
Source: fosgailtenet.ru