Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
Vorige week maakte ARM bekend informatie over drie kwetsbaarheden in uw gebruikte GPU-stuurprogramma's op Android-, ChromeOS- en Linux-systemen en als zodanig zorgen de kwetsbaarheden ervoor dat een lokale gebruiker zonder rechten zijn code met kernelrechten kan uitvoeren.
Ondertussen Google pakt ook een deel van de beveiligingsproblemen in Android aan en vermelden aanvallers hebben al misbruik gemaakt van een van de kwetsbaarheden (CVE-2023-4211) in functionele exploits om gerichte aanvallen van het Zero Day-type uit te voeren. De kwetsbaarheid kan bijvoorbeeld worden gebruikt in kwaadaardige applicaties die via dubieuze bronnen worden verspreid om volledige toegang tot het systeem te krijgen en componenten te installeren die de gebruiker bespioneren.
Wat betreft de gevonden en al genoemde kwetsbaarheden: het gaat om de CVE-2023-4211, De kwetsbaarheid ontstaat bij het uitvoeren van een onjuiste werking van het GPU-geheugen, waardoor kan resulteren in toegang tot reeds vrijgemaakt systeemgeheugen, die gebruikt zou kunnen worden terwijl andere taken in de kernel draaien. De kwetsbare GPU-modellen worden gebruikt in smartphones Google Pixel 7, Samsung S20 en S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro en sommige apparaten met Mediatek-chips.
De ernstbeoordeling is gebaseerd op het effect dat misbruik van het beveiligingslek kan hebben op een getroffen apparaat, ervan uitgaande dat platform- en servicebeperkingen voor ontwikkelingsdoeleinden zijn uitgeschakeld of met succes zijn omzeild.
Van de kant van de oplossing voor het beveiligingslek is vermeld, wordt vermeld dat deze is verspreid in de r43p0-stuurprogramma-update voor Mali GPU's gebaseerd op Bifrost- en Valhall-microarchitecturen, evenals voor ARM-GPU's van de XNUMXe generatie. Er zijn geen driverupdates uitgebracht voor GPU's uit de Midgard-familie. De oplossing wordt ook aangeboden als onderdeel van de septemberupdates voor alle momenteel ondersteunde takken van Chrome OS en in de Android-update van oktober.
Nog een kwetsbaarheid dat werd onthuld is CVE-2023-33200 en welke ontstaat bij onjuiste GPU-bewerkingen ze kunnen een raceconditie veroorzaken en toegang krijgen tot geheugen dat al door de controller is vrijgegeven. Het beveiligingslek is opgelost in driverupdates r44p1 en r45p0 voor Mali GPU's gebaseerd op Bifrost- en Valhall-microarchitecturen, evenals ARM GPU's van de vijfde generatie.
De laatste van de genoemde kwetsbaarheden is CVE-2023-34970 en welke ontstaat bij onjuiste GPU-bewerkingen ze kunnen een bufferoverloop en geheugentoegang buiten het bereik veroorzaken. Het beveiligingslek is opgelost in driverupdates r44p1 en r45p0 voor Mali GPU's gebaseerd op de Valhall-microarchitectuur en ARM-GPU's van de XNUMXe generatie.
Last but not least, zoals hierboven al vermeld, Dat heeft Google ook aangekondigd informatie over verschillende kwetsbaarheden en in haar rapport van oktober en waarin zij 53 kwetsbaarheden vermeldde, waarvan 5 kwetsbaarheden een kritisch gevaarsniveau kregen toegewezen en de rest een hoog gevaarniveau. Bij kritieke problemen kunt u een aanval op afstand uitvoeren om uw code op het systeem uit te voeren.
Voor het deel van de problemen dat als gevaarlijk is gemarkeerd, wordt vermeld dat deze ervoor zorgen dat de code kan worden uitgevoerd in de context van een geprivilegieerd proces door lokale applicaties te manipuleren. Er zijn drie kritieke problemen (CVE-2023-24855, CVE-2023-28540 en CVE-2023-33028) geïdentificeerd in eigen Qualcomm-componenten en twee (CVE-2023-40129, CVE-2023-4863) in het systeem (in libwebp en Bluetooth-batterij).
In totaal werden 5 kwetsbaarheden geïdentificeerd in ARM-, MediaTek-, Unisoc- en Qualcomm-componenten en daarvan is het vermeldenswaard dat de aanvallers al twee kwetsbaarheden gebruiken (een in ARM GPU's en een andere in libwebp) in hun zero day-exploits.
Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.