Ninu ero isise aworan Qmage ti a pese ni famuwia Android Samsung, ti a ṣe sinu eto sisọ awọn aworan Skia,
A gbagbọ pe iṣoro naa ti wa lati ọdun 2014, bẹrẹ pẹlu famuwia ti o da lori Android 4.4.4, eyiti o ṣafikun awọn ayipada lati mu awọn ọna kika aworan QM, QG, ASTC ati PIO (iyatọ PNG) afikun. Ipalara
Iṣoro naa jẹ idanimọ lakoko idanwo fuzz nipasẹ ẹlẹrọ lati ọdọ Google, ẹniti o tun fihan pe ailagbara naa ko ni opin si awọn ipadanu ati pese apẹrẹ iṣẹ kan ti ilokulo ti o kọja aabo ASLR ati ṣe ifilọlẹ ẹrọ iṣiro nipasẹ fifiranṣẹ lẹsẹsẹ awọn ifiranṣẹ MMS si Samusongi kan Foonuiyara Agbaaiye Akọsilẹ 10+ ti n ṣiṣẹ pẹpẹ Android 10.
Ninu apẹẹrẹ ti o han, ilokulo aṣeyọri nilo isunmọ iṣẹju 100 lati kọlu ati firanṣẹ awọn ifiranṣẹ to ju 120 lọ. Iwa nilokulo ni awọn ẹya meji - ni ipele akọkọ, lati fori ASLR, adirẹsi ipilẹ jẹ ipinnu ni awọn ile-ikawe libskia.so ati libhwui.so, ati ni ipele keji, iwọle si ẹrọ latọna jijin ni a pese nipasẹ ifilọlẹ “iyipada” ikarahun". Ti o da lori ifilelẹ iranti, ipinnu adirẹsi ipilẹ nilo fifiranṣẹ lati awọn ifiranṣẹ 75 si 450.
Ni afikun, o le ṣe akiyesi
- CVE-2020-0096 jẹ ailagbara agbegbe ti o fun laaye ipaniyan koodu nigba ṣiṣe faili ti a ṣe apẹrẹ pataki);
- CVE-2020-0103 jẹ ailagbara latọna jijin ninu eto ti o fun laaye ipaniyan koodu nigba ṣiṣe awọn data ita ti a ṣe apẹrẹ pataki);
- CVE-2020-3641 jẹ ailagbara ninu awọn paati ohun-ini Qualcomm).
orisun: opennet.ru