ARM, kullanılan GPU sürücülerinde üç güvenlik açığı tespit ettiğini açıkladı. AndroidChromeOS ve dağıtımları LinuxBu güvenlik açıkları, yetkisiz yerel bir kullanıcının çekirdek ayrıcalıklarıyla kod çalıştırmasına olanak tanıyor. Platforma ilişkin Ekim ayı güvenlik raporunda, Android Yama yayınlanmadan önce, güvenlik açıklarından birinin (CVE-2023-4211) saldırganlar tarafından hedefli saldırılar (sıfır gün açığı) için çalışan istismarlarda zaten kullanıldığı belirtiliyor. Örneğin, bu güvenlik açığı, şüpheli kaynaklar aracılığıyla dağıtılan kötü amaçlı uygulamalarda sisteme tam erişim sağlamak ve kullanıcıyı gözetleyen bileşenler yüklemek için kullanılabilir.
Bulunan güvenlik açıkları:
- CVE-2023-4211 – Yanlış bir GPU bellek işleminin gerçekleştirilmesi, çekirdekteki diğer görevleri yürütürken kullanılabilecek, halihazırda serbest bırakılmış sistem belleğine erişimle sonuçlanabilir. Güvenlik açığı, Bifrost ve Valhall mikro mimarilerini temel alan Mali GPU'ların yanı sıra 43. nesil ARM GPU'lara yönelik r0p5 sürücü güncellemesinde düzeltildi. Midgard ailesi GPU'ları için herhangi bir sürücü güncellemesi yayınlanmadı.
Bu düzeltme, Chrome OS 114/115/116'nın Eylül ayı güncellemeleri ve Ekim ayı güncellemesinin bir parçası olarak da sunulmaktadır. AndroidGüvenlik açığı bulunan GPU modelleri, Google Pixel 7, Samsung S20 ve S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro ve Mediatek çipli bazı cihazlar gibi akıllı telefonlarda kullanılmaktadır.
- CVE-2023-33200 – Yanlış GPU işlemleri, yarış durumuna ve sürücü tarafından zaten serbest bırakılan belleğe erişime yol açabilir. Güvenlik açığı, Bifrost ve Valhall mikro mimarilerini temel alan Mali GPU'ların yanı sıra 44. nesil ARM GPU'lar için r1p45 ve r0p5 sürücü güncellemelerinde düzeltildi.
- CVE-2023-34970 Uygun olmayan GPU işlemleri, arabellek taşmasına ve sınırların dışında bellek erişimine yol açabilir. Güvenlik açığı, Valhall mikro mimarisini ve 44. nesil ARM GPU'ları temel alan Mali GPU'lar için r1p45 ve r0p5 sürücü güncellemelerinde düzeltildi.
Ekim ayı kırılganlık raporu toplamda şunları içeriyordu: Android 53 güvenlik açığı tespit edildi; bunlardan 5'ine kritik önem, geri kalanına ise yüksek önem derecesi verildi. Kritik sorunlar, uzaktan saldırı yoluyla sistemde kod yürütülmesine olanak tanır. Tehlikeli olarak işaretlenen sorunlar ise, yerel uygulamaları manipüle ederek ayrıcalıklı bir işlem bağlamında kod yürütülmesine izin verir. Üç kritik sorun (CVE-2023-24855, CVE-2023-28540 ve CVE-2023-33028) Qualcomm'a ait tescilli bileşenlerde, iki sorun (CVE-2023-40129, CVE-2023-4863) ise sistemde (libwebp ve Bluetooth yığınında) tespit edildi. Toplamda 5 güvenlik açığı ARM bileşenlerinde, 3'ü MediaTek'te, 1'i Unisoc'ta ve 17'si Qualcomm'da tespit edildi (Qualcomm raporu). İki güvenlik açığı (biri ARM GPU'larda, diğeri libwebp'de) saldırganlar tarafından halihazırda saldırılarında (sıfır gün açığı) kullanılıyor olarak işaretlenmiştir.
Kaynak: opennet.ru
