如果被利用,这些漏洞可能允许攻击者未经授权访问敏感信息或通常会导致问题
上周,ARM 宣布 有关三个漏洞的信息 在您使用的 GPU 驱动程序中 在 Android、ChromeOS 和 Linux 系统上 因此,这些漏洞允许非特权本地用户使用内核权限执行其代码。
与此同时 谷歌还解决了Android中的部分安全问题 并提及 攻击者已经在利用其中一个漏洞 (CVE-2023-4211) 中的功能漏洞可用于执行零日类型的针对性攻击。 例如,该漏洞可用于通过可疑来源分发的恶意应用程序,以获得对系统的完全访问权限并安装监视用户的组件。
关于发现的漏洞以及已经提到的,它是 CVE-2023-4211, 当对 GPU 内存执行错误操作时,就会出现该漏洞,这会导致 可能会导致访问已经释放的系统内存,可以在内核中运行其他任务时使用。 易受攻击的 GPU 型号适用于智能手机 Google Pixel 7、三星 S20 和 S21、摩托罗拉 Edge 40、OnePlus Nord 2、华硕 ROG Phone 6、红米 Note 11、12、荣耀 70 Pro、RealMe GT、小米 12 Pro、Oppo Find X5 Pro、Reno 8 Pro 以及一些配备 Mediatek 芯片的设备。
严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施出于开发目的而被禁用或被成功绕过。
在一部分 该漏洞的解决方案,提到是分布式的 在基于 Bifrost 和 Valhall 微架构的 Mali GPU 以及第五代 ARM GPU 的 r43p0 驱动程序更新中。 尚未发布 Midgard 系列 GPU 的驱动程序更新。 该修复程序也作为 Chrome OS 所有当前支持分支的 XNUMX 月更新和 XNUMX 月 Android 更新的一部分提供。
另一个漏洞 被揭露的是 CVE-2023-33200 以及哪个 出现在不正确的 GPU 操作中 它们可能会导致竞争条件并访问控制器已释放的内存。 该漏洞已在基于 Bifrost 和 Valhall 微架构的 Mali GPU 以及第五代 ARM GPU 的驱动程序更新 r44p1 和 r45p0 中修复。
最后 其中提到的漏洞是 CVE-2023-34970,其中 出现在不正确的 GPU 操作中 它们可能导致缓冲区溢出和越界内存访问。 该漏洞已在基于 Valhall 微架构和第五代 ARM GPU 的 Mali GPU 的驱动程序更新 r44p1 和 r45p0 中修复。
最后但并非最不重要的一点是,正如上面已经提到的, 谷歌还宣布 有关各种漏洞的信息以及 在 53 月份的报告中提到了 XNUMX 个漏洞, 其中5个漏洞为严重危险级别,其余为高危险级别。 严重问题允许您发起远程攻击以在系统上执行您的代码。
对于标记为危险的问题部分,他们提到这些问题允许代码通过操纵本地应用程序在特权进程的上下文中执行。 在 Qualcomm 专有组件中发现了三个关键问题(CVE-2023-24855、CVE-2023-28540 和 CVE-2023-33028),在系统(libwebp 中)中发现了两个关键问题(CVE-2023-40129、CVE-2023-4863)和蓝牙电池)。
总共在 ARM、MediaTek、Unisoc 和 Qualcomm 组件中发现了 5 个漏洞,其中值得一提的是,攻击者已经在其零日攻击中使用了两个漏洞(一个在 ARM GPU 中,另一个在 libwebp 中)。
最后 如果您有兴趣了解更多有关它的信息,您可以在中查看详细信息 以下链接。