Az ARM három sebezhetőséget hozott nyilvánosságra a GPU-illesztőprogramjaiban, amelyeket a ...-ban használnak. Android, ChromeOS és disztribúciók LinuxA sebezhetőségek lehetővé teszik, hogy egy nem privilégiumozott helyi felhasználó kernel jogosultságokkal futtasson kódot. A platform októberi biztonsági jelentésében a következők szerepelnek: Android Megemlítik, hogy a javítás kiadása előtt az egyik sebezhetőséget (CVE-2023-4211) a támadók már kihasználták célzott (zero-day) támadásokhoz. Például a sebezhetőséget kétes forrásokból terjesztett rosszindulatú alkalmazásokban lehet felhasználni a rendszerhez való teljes hozzáférés megszerzésére és a felhasználó után kémkedő összetevők telepítésére.
Talált sebezhetőségeket:
- CVE-2023-4211 – Helytelen GPU-memóriaművelet végrehajtása elérheti a már felszabadult rendszermemóriát, amely felhasználható a kernelben lévő egyéb feladatok végrehajtása során. A sérülékenységet az r43p0 illesztőprogram-frissítésben javítják a Bifrost és Valhall mikroarchitektúrán alapuló mali GPU-khoz, valamint az 5. generációs ARM GPU-khoz. A Midgard család GPU-ihoz nem adtak ki illesztőprogram-frissítést.
A javítás a Chrome OS 114/115/116 szeptemberi frissítéseinek és az októberi frissítésnek a részeként is elérhető. AndroidA sebezhető GPU-modelleket olyan okostelefonokban használják, mint a Google Pixel 7, a Samsung S20 és S21, a Motorola Edge 40, a OnePlus Nord 2, az Asus ROG Phone 6, a Redmi Note 11, 12, a Honor 70 Pro, a RealMe GT, a Xiaomi 12 Pro, az Oppo Find X5 Pro, a Reno 8 Pro, valamint néhány Mediatek chippel rendelkező eszköz.
- CVE-2023-33200 – A helytelen GPU-műveletek versenyhelyzethez és a versenyző által már felszabadított memóriához való hozzáféréshez vezethetnek. A sérülékenységet az r44p1 és r45p0 illesztőprogram-frissítésekben javították ki a Bifrost és Valhall mikroarchitektúrán alapuló mali GPU-khoz, valamint az 5. generációs ARM GPU-khoz.
- CVE-2023-34970 A nem megfelelő GPU-műveletek puffertúlcsorduláshoz és határokon túli memória-hozzáféréshez vezethetnek. A biztonsági rést a Valhall mikroarchitektúrán és az 44. generációs ARM GPU-kon alapuló mali GPU-k r1p45 és r0p5 illesztőprogram-frissítéseiben javították.
Az októberi sebezhetőségi jelentés összesen a következőket tartalmazta: Android 53 sebezhetőséget említettek, amelyek közül 5-öt kritikus, a többit pedig magas súlyossági szinttel ruháztak fel. A kritikus problémák lehetővé teszik a távoli támadások számára, hogy kódot futtassanak a rendszeren. A veszélyesként megjelölt problémák lehetővé teszik a kódfuttatást privilegizált folyamatok kontextusában, helyi alkalmazások manipulálásával. Három kritikus problémát (CVE-2023-24855, CVE-2023-28540 és CVE-2023-33028) azonosítottak saját fejlesztésű Qualcomm komponensekben, kettőt (CVE-2023-40129, CVE-2023-4863) pedig a rendszerben (a libwebp-ben és a Bluetooth veremben). Összesen 5 sebezhetőséget azonosítottak ARM komponensekben, 3-at a MediaTek-ben, 1-et az Unisoc-ban és 17-et a Qualcomm-ban (a Qualcomm jelentése). Két sebezhetőséget (egyet az ARM GPU-kban és egyet a libwebp-ben) a támadók által már használtként jelöltek meg (0-napos).
Forrás: opennet.ru
