V ovladačích GPU ARM byly zjištěny 3 zranitelnosti 

zranitelnost

Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy

Minulý týden oznámil ARM informace o třech zranitelnostech v použitých ovladačích GPU v systémech Android, ChromeOS a Linux a zranitelnosti jako takové umožňují neprivilegovanému místnímu uživateli spouštět svůj kód s právy jádra.

Pro jeho část Google také řeší část bezpečnostních problémů v Androidu a zmínit útočníci již jednu ze zranitelností zneužili (CVE-2023-4211) ve funkčních exploitech k provádění cílených útoků typu Zero Day. Zranitelnost lze například použít ve škodlivých aplikacích distribuovaných prostřednictvím pochybných zdrojů k získání plného přístupu k systému a instalaci součástí, které uživatele špehují.

Co se týče nalezených zranitelností a které již byly zmíněny, jedná se o CVE-2023-4211, Zranitelnost vzniká při provádění nesprávné činnosti paměti GPU, která může mít za následek přístup k již uvolněné systémové paměti, který lze použít, když v jádře běží jiné úlohy. Zranitelné modely GPU se používají ve smartphonech Google Pixel 7, Samsung S20 a S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro a některá zařízení s čipy Mediatek.

Posouzení závažnosti je založeno na vlivu, který by mohlo mít zneužití zranitelnosti na postižené zařízení, za předpokladu, že omezení platformy a služby jsou deaktivována pro účely vývoje nebo jsou úspěšně obejita.

Na straně řešení zranitelnosti, je uvedeno, že byla distribuována v aktualizaci ovladače r43p0 pro GPU Mali založené na mikroarchitekturách Bifrost a Valhall a také pro GPU ARM XNUMX. generace. Pro GPU rodiny Midgard nebyly vydány žádné aktualizace ovladačů. Oprava je nabízena také v rámci zářijových aktualizací pro všechny aktuálně podporované větve Chrome OS a v říjnové aktualizaci Androidu.

Další zranitelnost to bylo odhaleno CVE-2023-33200 a který vzniká při nesprávných operacích GPU mohou způsobit spor a přistupovat k paměti, která již byla uvolněna řadičem. Tato chyba zabezpečení byla opravena v aktualizacích ovladačů r44p1 a r45p0 pro GPU Mali založené na mikroarchitekturách Bifrost a Valhall a také pro GPU ARM páté generace.

Poslední z uvedených zranitelností je CVE-2023-34970 a která vzniká při nesprávných operacích GPU mohou způsobit přetečení vyrovnávací paměti a přístup k paměti mimo hranice. Tato chyba zabezpečení byla opravena v aktualizacích ovladačů r44p1 a r45p0 pro GPU Mali založené na mikroarchitektuře Valhall a ARM GPU XNUMX. generace.

V neposlední řadě, jak již bylo zmíněno výše, Oznámil to také Google informace o různých zranitelnostech a ve své říjnové zprávě a ve které zmínila 53 zranitelností, z toho 5 zranitelným místům byl přiřazen kritický stupeň nebezpečí a zbytek vysoký stupeň nebezpečí. Kritické problémy vám umožňují spustit vzdálený útok a spustit váš kód v systému.

U části problémů označených jako nebezpečné je zmíněno, že umožňují spouštění kódu v kontextu privilegovaného procesu manipulací s místními aplikacemi. Tři kritické problémy (CVE-2023-24855, CVE-2023-28540 a CVE-2023-33028) byly identifikovány v proprietárních součástech Qualcommu a dva (CVE-2023-40129, CVE-2023-4863) v systému (v libwebp a baterie Bluetooth).

Celkem bylo identifikováno 5 zranitelností v komponentách ARM, MediaTek, Unisoc a Qualcomm a z nich stojí za zmínku, že útočníci již používají dvě zranitelnosti (jednu v GPU ARM a druhou v libwebp) ve svých zero day exploitech.

Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.