ARM Android, ChromeOS va Linux distributivlarida ishlatiladigan GPU drayverlaridagi uchta zaiflikni oshkor qildi. Zaifliklar imtiyozga ega bo'lmagan mahalliy foydalanuvchiga o'z kodini yadro huquqlari bilan bajarishga imkon beradi. Android platformasidagi xavfsizlik masalalari boʻyicha oktyabr oyidagi hisobotda taʼkidlanishicha, tuzatishlar mavjud boʻlgunga qadar zaifliklardan biri (CVE-2023-4211) tajovuzkorlar tomonidan maqsadli (0 kunlik) hujumlarni amalga oshirish uchun ishlaydigan ekspluatatsiyalarda allaqachon foydalanilmoqda. . Masalan, zaiflikdan tizimga to‘liq kirish va foydalanuvchiga josuslik qiluvchi komponentlarni o‘rnatish uchun shubhali manbalar orqali tarqatiladigan zararli dasturlarda foydalanish mumkin.
Topilgan zaifliklar:
- CVE-2023-4211 – GPU xotirasining noto‘g‘ri ishlashi yadrodagi boshqa vazifalarni bajarishda foydalanish mumkin bo‘lgan allaqachon bo‘shatilgan tizim xotirasiga kirishga olib kelishi mumkin. Zaiflik Bifrost va Valhall mikroarxitekturalari asosidagi Mali grafik protsessorlari uchun r43p0 drayverini yangilashda, shuningdek, 5-avlod ARM grafik protsessorlarida tuzatilgan. Midgard oilasi GPUlari uchun drayverlarni yangilash chiqarilmagan.
Tuzatish, shuningdek, sentyabr oyidagi Chrome OS 114/115/116 filiallari va oktyabr oyidagi Android yangilanishlarining bir qismi sifatida taklif etiladi. Zaif GPU modellari Google Pixel 7, Samsung S20 va S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro smartfonlarida qo'llaniladi. , Reno 8 Pro va Mediatek chipli ba'zi qurilmalar.
- CVE-2023-33200 - Noto'g'ri GPU operatsiyalari poyga holatiga va haydovchi tomonidan allaqachon bo'shatilgan xotiraga kirishga olib kelishi mumkin. Zaiflik Bifrost va Valhall mikroarxitekturalari asosidagi Mali grafik protsessorlari uchun r44p1 va r45p0 drayverlarini yangilashda, shuningdek, 5-avlod ARM GPUlarida tuzatildi.
- CVE-2023-34970 Noto'g'ri GPU operatsiyalari buferning to'lib ketishiga va xotiradan foydalanishga olib kelishi mumkin. Zaiflik Valhall mikroarxitekturasi va 44-avlod ARM GPUlari asosidagi Mali grafik protsessorlari uchun r1p45 va r0p5 drayverlarni yangilashda tuzatildi.
Umuman olganda, Android tizimidagi zaifliklar bo‘yicha oktyabr oyidagi hisobotda 53 ta zaiflik qayd etilgan bo‘lib, ulardan 5 tasi zaiflik kritik darajali, qolganlariga esa yuqori darajadagi xavf darajasi berilgan. Muhim muammolar tizimda kodingizni bajarish uchun masofaviy hujumni boshlash imkonini beradi. Xavfli deb belgilangan muammolar kodni mahalliy ilovalarni manipulyatsiya qilish orqali imtiyozli jarayon kontekstida bajarishga imkon beradi. Uchta muhim muammo (CVE-2023-24855, CVE-2023-28540 va CVE-2023-33028) xususiy Qualcomm komponentlarida va ikkita (CVE-2023-40129, CVE-2023-4863) tizimda (va libwebda) aniqlandi. Bluetooth to'plami). Umuman olganda, ARM komponentlarida 5 ta zaiflik aniqlandi, MediaTek - 3, Unisoc - 1 va Qualcomm - 17 (Qualcomm hisoboti). Ikkita zaiflik (biri ARM GPU-larida va biri libwebp-da) tajovuzkorlar tomonidan o'z ekspluatatsiyalarida (0 kunlik) foydalanilgani qayd etilgan.
Manba: opennet.ru