જો શોષણ કરવામાં આવે તો, આ ખામીઓ હુમલાખોરોને સંવેદનશીલ માહિતીની અનધિકૃત ઍક્સેસ મેળવવા અથવા સામાન્ય રીતે સમસ્યાઓનું કારણ બની શકે છે.
ગયા અઠવાડિયે, એઆરએમએ જાહેરાત કરી ત્રણ નબળાઈઓ વિશે માહિતી તમારા વપરાયેલ GPU ડ્રાઇવરોમાં Android, ChromeOS અને Linux સિસ્ટમ પર અને જેમ કે નબળાઈઓ એક બિનપ્રાપ્તિહીત સ્થાનિક વપરાશકર્તાને કર્નલ અધિકારો સાથે તેમના કોડને ચલાવવાની મંજૂરી આપે છે.
તેના ભાગ માટે ગૂગલ એન્ડ્રોઇડમાં સુરક્ષા સમસ્યાઓના ભાગને પણ સંબોધે છે અને ઉલ્લેખ હુમલાખોરો પહેલાથી જ એક નબળાઈઓનો ઉપયોગ કરી રહ્યા છે (CVE-2023-4211) ઝીરો ડે પ્રકારના લક્ષિત હુમલાઓ કરવા માટે કાર્યાત્મક શોષણમાં. ઉદાહરણ તરીકે, સિસ્ટમમાં સંપૂર્ણ ઍક્સેસ મેળવવા અને વપરાશકર્તાની જાસૂસી કરતા ઘટકોને ઇન્સ્ટોલ કરવા માટે શંકાસ્પદ સ્ત્રોતો દ્વારા વિતરિત દૂષિત એપ્લિકેશન્સમાં નબળાઈનો ઉપયોગ કરી શકાય છે.
મળી આવેલી નબળાઈઓ અંગે અને જેનો ઉલ્લેખ પહેલાથી જ કરવામાં આવ્યો હતો, તે છે સીવીઇ -2023-4211, GPU મેમરીની ખોટી કામગીરી કરતી વખતે નબળાઈ ઊભી થાય છે, જે પહેલેથી મુક્ત કરેલ સિસ્ટમ મેમરીને ઍક્સેસ કરવામાં પરિણમી શકે છે, જે કર્નલમાં અન્ય કાર્યો ચાલી રહી હોય ત્યારે વાપરી શકાય છે. નબળા GPU મોડલ્સનો ઉપયોગ સ્માર્ટફોન Google Pixel 7, Samsung S20 અને S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 માં થાય છે. પ્રો, રેનો 8 પ્રો અને મીડિયાટેક ચિપ્સવાળા કેટલાક ઉપકરણો.
ગંભીરતાનું મૂલ્યાંકન એ અસર પર આધારિત છે કે નબળાઈનું શોષણ અસરગ્રસ્ત ઉપકરણ પર થઈ શકે છે, એમ માનીને કે પ્લેટફોર્મ અને સેવાના ઘટાડા વિકાસના હેતુઓ માટે અક્ષમ છે અથવા સફળતાપૂર્વક બાયપાસ કરવામાં આવ્યા છે.
ના ભાગ પર નબળાઈના ઉકેલ માટે, તે ઉલ્લેખિત છે કે તે વિતરણ કરવામાં આવ્યું હતું Bifrost અને Valhall microarchitectures પર આધારિત Mali GPUs માટે r43p0 ડ્રાઇવર અપડેટમાં, તેમજ XNUMXમી પેઢીના ARM GPU માટે. Midgard કુટુંબ GPUs માટે કોઈ ડ્રાઈવર અપડેટ્સ બહાર પાડવામાં આવ્યાં નથી. ક્રોમ ઓએસની તમામ હાલમાં સમર્થિત શાખાઓ માટે સપ્ટેમ્બર અપડેટના ભાગ રૂપે અને ઓક્ટોબરના એન્ડ્રોઇડ અપડેટમાં પણ ફિક્સ ઓફર કરવામાં આવે છે.
બીજી નબળાઈ તે જાહેર થયું હતું CVE-2023-33200 અને જે ખોટા GPU કામગીરીમાં ઉદ્ભવે છે તેઓ રેસની સ્થિતિ અને એક્સેસ મેમરીનું કારણ બની શકે છે જે નિયંત્રક દ્વારા પહેલાથી જ મુક્ત કરવામાં આવી છે. Bifrost અને Valhall microarchitectures પર આધારિત Mali GPUs માટે ડ્રાઇવર અપડેટ્સ r44p1 અને r45p0 માં નબળાઈ ઠીક કરવામાં આવી હતી, તેમજ પાંચમી પેઢીના ARM GPUs.
જો છેલ્લા ઉલ્લેખિત નબળાઈઓમાં CVE-2023-34970 છે અને જે ખોટા GPU કામગીરીમાં ઉદ્ભવે છે તેઓ બફર ઓવરફ્લો અને આઉટ-ઓફ-બાઉન્ડ મેમરી એક્સેસનું કારણ બની શકે છે. Valhall માઇક્રોઆર્કિટેક્ચર અને 44મી પેઢીના ARM GPUs પર આધારિત માલી GPUs માટે ડ્રાઇવર અપડેટ્સ r1p45 અને r0pXNUMX માં નબળાઈ નિશ્ચિત કરવામાં આવી હતી.
છેલ્લું પરંતુ ઓછામાં ઓછું નહીં, ઉપર જણાવ્યા મુજબ, ગૂગલે પણ જાહેરાત કરી છે વિવિધ નબળાઈઓ વિશે માહિતી અને તેના ઓક્ટોબર રિપોર્ટમાં અને જેમાં તેણે 53 નબળાઈઓનો ઉલ્લેખ કર્યો છે, જેમાંથી 5 નબળાઈઓને ગંભીર ભયનું સ્તર સોંપવામાં આવ્યું હતું અને બાકીનાને ઉચ્ચ જોખમનું સ્તર સોંપવામાં આવ્યું હતું. ગંભીર સમસ્યાઓ તમને સિસ્ટમ પર તમારા કોડને એક્ઝિક્યુટ કરવા માટે રિમોટ એટેક શરૂ કરવાની મંજૂરી આપે છે.
ખતરનાક તરીકે ચિહ્નિત થયેલ સમસ્યાઓના ભાગ માટે, તેઓનો ઉલ્લેખ કરવામાં આવ્યો છે કે આ કોડને સ્થાનિક એપ્લિકેશનોની હેરફેર કરીને વિશેષાધિકૃત પ્રક્રિયાના સંદર્ભમાં ચલાવવાની મંજૂરી આપે છે. ત્રણ જટિલ મુદ્દાઓ (CVE-2023-24855, CVE-2023-28540, અને CVE-2023-33028) માલિકીના ક્યુઅલકોમ ઘટકોમાં ઓળખવામાં આવ્યા હતા અને બે (CVE-2023-40129, CVE-2023-4863 in thebp સિસ્ટમ) અને બ્લૂટૂથ બેટરી).
કુલ મળીને, ARM, MediaTek, Unisoc અને Qualcomm ઘટકોમાં 5 નબળાઈઓ ઓળખવામાં આવી હતી અને તેમાંથી તે ઉલ્લેખનીય છે કે હુમલાખોરો તેમના શૂન્ય દિવસના શોષણમાં પહેલેથી જ બે નબળાઈઓ (એક ARM GPUs અને બીજી libwebp માં) નો ઉપયોગ કરે છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી