ARM, Android, ChromeOS ve Linux dağıtımlarında kullanılan GPU sürücülerinde üç güvenlik açığını açıkladı. Güvenlik açıkları, ayrıcalığı olmayan bir yerel kullanıcının kendi kodunu çekirdek haklarıyla yürütmesine olanak tanır. Android platformundaki güvenlik sorunlarına ilişkin Ekim ayındaki bir raporda, bir düzeltme mevcut olmadan önce, güvenlik açıklarından birinin (CVE-2023-4211) saldırganlar tarafından hedefli (0 günlük) saldırılar gerçekleştirmek için çalışan istismarlarda kullanıldığı belirtiliyor. . Örneğin, güvenlik açığı, sisteme tam erişim sağlamak ve kullanıcıyı gözetleyen bileşenleri yüklemek için şüpheli kaynaklar aracılığıyla dağıtılan kötü amaçlı uygulamalarda kullanılabilir.
Bulunan güvenlik açıkları:
- CVE-2023-4211 – Yanlış bir GPU bellek işleminin gerçekleştirilmesi, çekirdekteki diğer görevleri yürütürken kullanılabilecek, halihazırda serbest bırakılmış sistem belleğine erişimle sonuçlanabilir. Güvenlik açığı, Bifrost ve Valhall mikro mimarilerini temel alan Mali GPU'ların yanı sıra 43. nesil ARM GPU'lara yönelik r0p5 sürücü güncellemesinde düzeltildi. Midgard ailesi GPU'ları için herhangi bir sürücü güncellemesi yayınlanmadı.
Düzeltme ayrıca Chrome OS 114/115/116 şubelerine yönelik Eylül ayı güncellemeleri ve Ekim ayı Android güncellemesi kapsamında da sunuluyor. Savunmasız GPU modelleri Google Pixel 7, Samsung S20 ve S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro akıllı telefonlarda kullanılıyor , Reno 8 Pro ve Mediatek çipli bazı cihazlar.
- CVE-2023-33200 – Yanlış GPU işlemleri, yarış durumuna ve sürücü tarafından zaten serbest bırakılan belleğe erişime yol açabilir. Güvenlik açığı, Bifrost ve Valhall mikro mimarilerini temel alan Mali GPU'ların yanı sıra 44. nesil ARM GPU'lar için r1p45 ve r0p5 sürücü güncellemelerinde düzeltildi.
- CVE-2023-34970 Uygun olmayan GPU işlemleri, arabellek taşmasına ve sınırların dışında bellek erişimine yol açabilir. Güvenlik açığı, Valhall mikro mimarisini ve 44. nesil ARM GPU'ları temel alan Mali GPU'lar için r1p45 ve r0p5 sürücü güncellemelerinde düzeltildi.
Toplamda, Android'deki güvenlik açıklarına ilişkin Ekim ayı raporunda 53 güvenlik açığından bahsedildi; bunlardan 5 güvenlik açığına kritik düzeyde tehlike, geri kalanına ise yüksek düzeyde tehlike atandı. Kritik sorunlar, kodunuzu sistemde yürütmek için uzaktan saldırı başlatmanıza olanak tanır. Tehlikeli olarak işaretlenen sorunlar, kodun yerel uygulamaların manipülasyonu yoluyla ayrıcalıklı bir süreç bağlamında yürütülmesine izin verir. Tescilli Qualcomm bileşenlerinde üç kritik sorun (CVE-2023-24855, CVE-2023-28540 ve CVE-2023-33028) ve sistemde (libwebp ve CVE-2023-40129, CVE-2023-4863) iki kritik sorun belirlendi. Bluetooth -yığın). ARM bileşenlerinde MediaTek - 5, Unisoc - 3 ve Qualcomm - 1 (Qualcomm'dan gelen rapor) olmak üzere toplamda 17 güvenlik açığı tespit edildi. İki güvenlik açığının (biri ARM GPU'larda ve diğeri libwebp'de) saldırganlar tarafından istismarlarında (0 gün) zaten kullanıldığı belirtiliyor.
Kaynak: opennet.ru