ARM நிறுவனம், தனது GPU டிரைவர்களில் உள்ள மூன்று பாதுகாப்பு குறைபாடுகளை வெளிப்படுத்தியுள்ளது. AndroidChromeOS மற்றும் விநியோகங்கள் Linuxஇந்தப் பாதுகாப்புக் குறைபாடுகள், சிறப்புரிமையற்ற உள்ளூர் பயனர் ஒருவரை கர்னல் சிறப்புரிமைகளுடன் குறியீட்டை இயக்க அனுமதிக்கின்றன. அந்த இயங்குதளம் குறித்த அக்டோபர் மாதப் பாதுகாப்பு அறிக்கையில், Android பேட்ச் வெளியிடப்படுவதற்கு முன்பே, பாதிப்புகளில் ஒன்றான (CVE-2023-4211) பாதிப்பை, தாக்குதல் நடத்துபவர்கள் இலக்கு வைக்கப்பட்ட தாக்குதல்களுக்கான (ஜீரோ-டே) செயல்படும் சுரண்டல்களில் பயன்படுத்தியுள்ளனர் என்று குறிப்பிடப்பட்டுள்ளது. உதாரணமாக, சந்தேகத்திற்குரிய மூலங்கள் மூலம் விநியோகிக்கப்படும் தீங்கிழைக்கும் பயன்பாடுகளில், கணினிக்கான முழு அணுகலைப் பெறவும், பயனரை உளவு பார்க்கும் கூறுகளை நிறுவவும் இந்தப் பாதிப்பைப் பயன்படுத்தலாம்.
கண்டறியப்பட்ட பாதிப்புகள்:
- CVE-2023-4211 – தவறான GPU நினைவக செயல்பாட்டைச் செய்வது ஏற்கனவே விடுவிக்கப்பட்ட கணினி நினைவகத்தை அணுகுவதற்கு வழிவகுக்கும், இது கர்னலில் மற்ற பணிகளைச் செய்யும்போது பயன்படுத்தப்படலாம். Bifrost மற்றும் Valhall மைக்ரோஆர்கிடெக்சர்கள் மற்றும் 43வது தலைமுறை ARM GPUகளின் அடிப்படையில் Mali GPUகளுக்கான இயக்கி மேம்படுத்தல் r0p5 இல் பாதிப்பு சரி செய்யப்பட்டது. Midgard குடும்ப GPUகளுக்கான இயக்கி மேம்படுத்தல் எதுவும் வெளியிடப்படவில்லை.
இந்தத் திருத்தம், Chrome OS 114/115/116-க்கான செப்டம்பர் மாதப் புதுப்பிப்புகள் மற்றும் அக்டோபர் மாதப் புதுப்பிப்பின் ஒரு பகுதியாகவும் வழங்கப்படுகிறது. Androidகூகுள் பிக்சல் 7, சாம்சங் S20 மற்றும் S21, மோட்டோரோலா எட்ஜ் 40, ஒன்பிளஸ் நோர்ட் 2, ஆசஸ் ROG ஃபோன் 6, ரெட்மி நோட் 11, 12, ஹானர் 70 ப்ரோ, ரியல்மி GT, சியோமி 12 ப்ரோ, ஒப்போ ஃபைண்ட் X5 ப்ரோ, ரெனோ 8 ப்ரோ போன்ற ஸ்மார்ட்போன்களிலும், மீடியாடெக் சிப்களைக் கொண்ட சில சாதனங்களிலும் பாதிப்புக்குள்ளாகக்கூடிய GPU மாடல்கள் பயன்படுத்தப்படுகின்றன.
- CVE-2023-33200 - தவறான GPU செயல்பாடுகள் பந்தய நிலைக்கு வழிவகுக்கும் மற்றும் இயக்கி ஏற்கனவே விடுவிக்கப்பட்ட நினைவகத்தை அணுகலாம். Bifrost மற்றும் Valhall மைக்ரோஆர்கிடெக்சர்கள் மற்றும் 44வது தலைமுறை ARM GPUகளின் அடிப்படையில் Mali GPUகளுக்கான இயக்கி மேம்படுத்தல்கள் r1p45 மற்றும் r0p5 ஆகியவற்றில் பாதிப்பு சரி செய்யப்பட்டது.
- CVE-2023-34970 தவறான GPU செயல்பாடுகள் இடையக வழிதல் மற்றும் வரம்புக்கு வெளியே நினைவக அணுகலுக்கு வழிவகுக்கும். Valhall microarchitecture மற்றும் 44வது தலைமுறை ARM GPUகளின் அடிப்படையில் Mali GPUகளுக்கான இயக்கி மேம்படுத்தல்கள் r1p45 மற்றும் r0p5 ஆகியவற்றில் பாதிப்பு சரி செய்யப்பட்டது.
மொத்தத்தில், அக்டோபர் மாத பாதிப்பு அறிக்கை உள்ளடக்கியிருந்தது Android 53 பாதிப்புகள் குறிப்பிடப்பட்டன, அவற்றில் 5-க்கு மிக அபாயகரமான தீவிர நிலையும், மீதமுள்ளவற்றுக்கு உயர் தீவிர நிலையும் ஒதுக்கப்பட்டன. மிக அபாயகரமான சிக்கல்கள், ஒரு தொலைநிலைத் தாக்குதல் மூலம் கணினியில் குறியீட்டை இயக்க அனுமதிக்கின்றன. அபாயகரமானவை எனக் குறிக்கப்பட்ட சிக்கல்கள், உள்ளூர் பயன்பாடுகளைக் கையாளுவதன் மூலம் ஒரு சிறப்புரிமை பெற்ற செயல்முறையின் சூழலில் குறியீட்டை இயக்க அனுமதிக்கின்றன. மூன்று மிக அபாயகரமான சிக்கல்கள் (CVE-2023-24855, CVE-2023-28540, மற்றும் CVE-2023-33028) குவால்காமின் தனியுரிமக் கூறுகளிலும், இரண்டு (CVE-2023-40129, CVE-2023-4863) கணினியிலும் (libwebp மற்றும் புளூடூத் அடுக்கில்) கண்டறியப்பட்டன. ARM கூறுகளில் மொத்தம் 5 பாதிப்புகளும், மீடியாடெக்கில் 3 பாதிப்புகளும், யூனிசாக்கில் 1 பாதிப்பும், குவால்காமில் 17 பாதிப்புகளும் கண்டறியப்பட்டன (குவால்காமின் அறிக்கை). இரண்டு பாதுகாப்புக் குறைபாடுகள் (ஒன்று ARM GPU-விலும், மற்றொன்று libwebp-லும்) தாக்குதல் நடத்துபவர்களால் ஏற்கனவே அவர்களின் சுரண்டல்களில் (0-day) பயன்படுத்தப்பட்டு வருவதாகக் குறிக்கப்பட்டுள்ளன.
ஆதாரம்: opennet.ru
