Dina prosésor gambar Qmage disadiakeun dina firmware Android Samsung, diwangun kana sistem rendering grafik Skia,
Masalahna dipercaya geus hadir saprak 2014, dimimitian ku firmware dumasar kana Android 4.4.4, nu ditambahkeun parobahan pikeun nanganan QM tambahan, QG, ASTC na PIO (varian PNG) format gambar. Karentanan
Masalahna diidentifikasi nalika uji fuzz ku insinyur ti Google, anu ogé ngabuktikeun yén kerentanan henteu dugi ka kacilakaan sareng nyiapkeun prototipe kerja tina eksploitasi anu ngalangkungan panyalindungan ASLR sareng ngaluncurkeun kalkulator ku ngirim séri pesen MMS ka Samsung. Galaxy Note 10+ smartphone ngajalankeun platform Android 10.
Dina conto anu dipidangkeun, eksploitasi anu suksés peryogi sakitar 100 menit pikeun nyerang sareng ngirim langkung ti 120 pesen. Eksploitasi diwangun ku dua bagian - dina tahap kahiji, pikeun ngalangkungan ASLR, alamat dasarna ditangtukeun dina perpustakaan libskia.so sareng libhwui.so, sareng dina tahap kadua, aksés jarak jauh ka alat disayogikeun ku ngaluncurkeun "balikkeun". cangkang”. Gumantung kana perenah memori, nangtukeun alamat dasar merlukeun ngirim tina 75 nepi ka 450 pesen.
Sajaba ti éta, bisa dicatet
- CVE-2020-0096 mangrupikeun kerentanan lokal anu ngamungkinkeun palaksanaan kode nalika ngolah file anu dirarancang khusus);
- CVE-2020-0103 mangrupikeun kerentanan jauh dina sistem anu ngamungkinkeun palaksanaan kode nalika ngolah data éksternal anu dirarancang khusus);
- CVE-2020-3641 mangrupikeun kerentanan dina komponén proprietary Qualcomm).
sumber: opennet.ru