Praėjusią savaitę ARM paskelbė informacija apie tris pažeidžiamumus naudojamose GPU tvarkyklėse Android, ChromeOS ir Linux sistemose ir todėl pažeidžiamumas leidžia neprivilegijuotam vietiniam vartotojui vykdyti savo kodą su branduolio teisėmis.
Tuo tarpu „Google“ taip pat sprendžia dalį „Android“ saugos problemų ir paminėti užpuolikai jau išnaudojo vieną iš pažeidžiamumų (CVE-2023-4211) funkciniuose išnaudojimuose, skirtuose vykdyti tikslines „Zero Day“ tipo atakas. Pavyzdžiui, pažeidžiamumas gali būti naudojamas kenkėjiškose programose, platinamose iš abejotinų šaltinių, siekiant gauti visišką prieigą prie sistemos ir įdiegti komponentus, kurie šnipinėja vartotoją.
Kalbant apie rastus ir jau paminėtus pažeidžiamumus, tai yra CVE-2023-4211, Pažeidžiamumas atsiranda netinkamai veikiant GPU atmintį, kuri gali būti prieiga prie jau atlaisvintos sistemos atminties, kurį galima naudoti, kai branduolyje vykdomos kitos užduotys. Pažeidžiami GPU modeliai naudojami išmaniuosiuose telefonuose Google Pixel 7, Samsung S20 ir S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro ir kai kurie įrenginiai su Mediatek lustais.
Sunkumo vertinimas pagrįstas poveikiu, kurį pažeidžiamumo išnaudojimas gali turėti paveiktam įrenginiui, darant prielaidą, kad platformos ir paslaugų mažinimo priemonės yra išjungtos kūrimo tikslais arba sėkmingai apeinamos.
Iš pažeidžiamumo sprendimą, minima, kad jis buvo platinamas r43p0 tvarkyklės atnaujinime, skirtame Malio GPU, pagrįstiems Bifrost ir Valhall mikroarchitektūromis, taip pat XNUMX kartos ARM GPU. Midgard šeimos GPU tvarkyklės naujinimai nebuvo išleisti. Pataisymas taip pat siūlomas kaip visų šiuo metu palaikomų „Chrome“ OS šakų rugsėjo atnaujinimų ir spalio mėnesio „Android“ naujinimo dalis.
Kitas pažeidžiamumas tai buvo atskleista CVE-2023-33200 ir kuri atsiranda netinkamai veikiant GPU jie gali sukelti lenktynių būklę ir pasiekti atmintį, kurią jau atlaisvino valdiklis. Pažeidžiamumas buvo ištaisytas tvarkyklių atnaujinimuose r44p1 ir r45p0, skirtuose Malio GPU, pagrįstuose Bifrost ir Valhall mikroarchitektūromis, taip pat penktos kartos ARM GPU.
Paskutinis iš minėtų pažeidžiamumų yra CVE-2023-34970 ir kuris atsiranda netinkamai veikiant GPU jie gali sukelti buferio perpildymą ir prieigą prie atminties ribų. Pažeidžiamumas buvo ištaisytas tvarkyklių atnaujinimuose r44p1 ir r45p0, skirtuose Malio GPU, pagrįstuose Valhall mikroarchitektūra ir XNUMX kartos ARM GPU.
Paskutinis, bet ne mažiau svarbus dalykas, kaip jau minėta aukščiau, „Google“ taip pat paskelbė informacija apie įvairius pažeidžiamumus ir spalio mėn. ataskaitoje ir kurioje paminėjo 53 pažeidžiamumą, iš kurių 5 pažeidžiamumui buvo priskirtas kritinio pavojaus lygis, o likusioms – aukšto pavojaus lygis. Dėl kritinių problemų galite pradėti nuotolinę ataką, kad sistemoje būtų vykdomas kodas.
Daliai problemų, pažymėtų kaip pavojingos, minima, kad jos leidžia kodui vykdyti privilegijuoto proceso kontekste, manipuliuojant vietinėmis programomis. Trys kritinės problemos (CVE-2023-24855, CVE-2023-28540 ir CVE-2023-33028) buvo nustatytos patentuotuose Qualcomm komponentuose ir dvi (CVE-2023-40129, CVE-2023-4863) sistemoje (libwebb). ir „Bluetooth“ baterija).
Iš viso buvo nustatyti 5 pažeidžiamumai ARM, MediaTek, Unisoc ir Qualcomm komponentuose, ir iš jų verta paminėti, kad užpuolikai jau naudoja du pažeidžiamumus (vieną ARM GPU ir kitą libwebp) savo nulinės dienos eksploatacijose.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.