ProHoster > blog > habari za mtandao > Athari za kiusalama katika kiendeshi cha ARM GPU ambazo tayari zimetumika kutekeleza mashambulizi

Athari za kiusalama katika kiendeshi cha ARM GPU ambazo tayari zimetumika kutekeleza mashambulizi

ARM imefichua udhaifu tatu katika viendeshi vyake vya GPU vilivyotumika katika Android, ChromeOS na usambazaji LinuxUdhaifu huo humruhusu mtumiaji wa ndani asiye na upendeleo kutekeleza msimbo wenye marupurupu ya kernel. Katika ripoti ya usalama ya Oktoba kwenye jukwaa, Android Imetajwa kwamba kabla ya kiraka kutolewa, mojawapo ya udhaifu (CVE-2023-4211) tayari imetumiwa vibaya na washambuliaji katika unyonyaji wa mashambulizi yaliyolengwa (siku sifuri). Kwa mfano, udhaifu unaweza kutumika katika programu hasidi zinazosambazwa kupitia vyanzo vya kutiliwa shaka ili kupata ufikiaji kamili wa mfumo na kusakinisha vipengele vinavyomchunguza mtumiaji.

Kupatikana udhaifu:

  • CVE-2023-4211 - Kufanya operesheni isiyo sahihi ya kumbukumbu ya GPU kunaweza kusababisha ufikiaji wa kumbukumbu ya mfumo iliyoachiliwa tayari, ambayo inaweza kutumika wakati wa kutekeleza majukumu mengine kwenye kernel. Athari hii imerekebishwa katika sasisho la viendeshaji r43p0 kwa GPU za Mali kulingana na miundo midogo ya Bifrost na Valhall, pamoja na GPU za kizazi cha 5 za ARM. Hakuna sasisho la kiendeshi ambalo limetolewa kwa GPU za familia ya Midgard.

    Marekebisho hayo pia yanatolewa kama sehemu ya masasisho ya Septemba ya Chrome OS 114/115/116 na sasisho la Oktoba. AndroidMifumo ya GPU inayoweza kuathiriwa hutumika katika simu mahiri kama vile Google Pixel 7, Samsung S20 na S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro, na baadhi ya vifaa vyenye chipu za Mediatek.

  • CVE-2023-33200 - Uendeshaji usio sahihi wa GPU unaweza kusababisha hali ya mbio na ufikiaji wa kumbukumbu ambayo tayari imeachiliwa na dereva. Athari hii ilirekebishwa katika masasisho ya viendeshaji r44p1 na r45p0 kwa GPU za Mali kulingana na usanifu mdogo wa Bifrost na Valhall, pamoja na GPU za kizazi cha tano za ARM.
  • CVE-2023-34970 Uendeshaji Usiofaa wa GPU unaweza kusababisha kufurika kwa bafa na ufikiaji wa kumbukumbu nje ya mipaka. Athari hii ilirekebishwa katika masasisho ya viendeshaji r44p1 na r45p0 kwa GPU za Mali kulingana na usanifu mdogo wa Valhall na GPU za kizazi cha 5 za ARM.

Kwa jumla, ripoti ya udhaifu ya Oktoba ilijumuisha Android Udhaifu 53 ulitajwa, 5 kati yake ulipewa kiwango muhimu cha ukali, na mengine yalipewa kiwango cha juu cha ukali. Masuala muhimu huruhusu shambulio la mbali kutekeleza msimbo kwenye mfumo. Masuala yaliyotiwa alama kama hatari huruhusu utekelezaji wa msimbo katika muktadha wa mchakato wa upendeleo kwa kudhibiti programu za ndani. Masuala matatu muhimu (CVE-2023-24855, CVE-2023-28540, na CVE-2023-33028) yalitambuliwa katika vipengele vya Qualcomm vya kibinafsi, na mawili (CVE-2023-40129, CVE-2023-4863) yalitambuliwa katika mfumo (katika libwebp na kwenye mrundiko wa Bluetooth). Jumla ya udhaifu 5 ulitambuliwa katika vipengele vya ARM, 3 katika MediaTek, 1 katika Unisoc, na 17 katika Qualcomm (ripoti kutoka Qualcomm). Udhaifu mbili (moja katika GPU za ARM na moja katika libwebp) zimewekwa alama kama tayari zinatumiwa na washambuliaji katika unyonyaji wao (siku 0).

Chanzo: opennet.ru

Nunua upangishaji wa kuaminika wa tovuti zilizo na ulinzi wa DDoS, seva za VPS VDS 🔥 Nunua upangishaji wa tovuti unaoaminika kwa ulinzi wa DDoS, seva za VPS VDS | ProHoster