Am Qmage Bildprozessor geliwwert an der Samsung Android Firmware, agebaut an de Skia Grafik Rendering System,
De Problem gëtt ugeholl datt se zënter 2014 präsent sinn, ugefaange mat Firmware baséiert op Android 4.4.4, déi Ännerunge bäigefüügt hunn fir zousätzlech QM, QG, ASTC a PIO (PNG Variant) Bildformater ze handhaben. Schwachstelle
De Problem gouf während Fuzz Testen vun engem Ingenieur vu Google identifizéiert, deen och bewisen huet datt d'Schwachheet net op Crashen limitéiert ass an e funktionnéierende Prototyp vun engem Exploit virbereet deen den ASLR Schutz ëmgeet an de Rechner lancéiert andeems en eng Serie vu MMS Messagen un e Samsung schéckt. Galaxy Note 10+ Smartphone mat der Plattform Android 10.
Am gewise Beispill huet erfollegräich Ausbeutung ongeféier 100 Minutten gebraucht fir iwwer 120 Messagen ze attackéieren an ze schécken. D'Exploit besteet aus zwee Deeler - op der éischter Etapp, fir den ASLR z'iwwergoen, gëtt d'Basisadress an de libskia.so a libhwui.so Bibliothéike festgeluegt, an op der zweeter Stuf gëtt den Fernzougang zum Apparat geliwwert andeems de "Reverse" lancéiert. Schuel". Jee no der Erënnerung Layout, Bestëmmung vun der Basis Adress verlaangt schéckt aus 75 ze 450 Messagen.
Zousätzlech kann et bemierkt ginn
- CVE-2020-0096 ass eng lokal Schwachstelle déi d'Code Ausféierung erlaabt wann Dir eng speziell entwéckelt Datei veraarbecht);
- CVE-2020-0103 ass eng Remote Schwachstelle am System, déi d'Code-Ausféierung erlaabt wann Dir speziell entworf extern Donnéeën veraarbecht;
- CVE-2020-3641 ass eng Schwachstelle bei Qualcomm propriétaire Komponenten).
Source: opennet.ru