MojAndroid

A Google Project Zero szerint a Google, a Samsung, a Xiaomi és számos más gyártó hónapokig nem foglalkozott az Arm’s Mali GPU-illesztőprogramjával kapcsolatos felfedett biztonsági hibákkal kapcsolatban, pedig ekkor a javítás már rendelkezésükre állt, a gyártó 2022 júliusában és augusztusában javításokat adott ki az öt közepes súlyosságú hibára.

Ezek a javítások még nem jutottak el az érintett Android-eszközökhöz (beleértve a Pixelt, a Samsungot, a Xiaomit, az Oppo-t és másokat)

– mondta Ian Beer, a Project Zero kutatója.

A mali GPU-val rendelkező eszközök jelenleg sebezhetőek.

A biztonsági rések a helytelen memóriafeldolgozáshoz kapcsolódnak, amely lehetővé teheti a rosszindulatú szereplők számára a felszabadult memória elérését. A hibákat a CVE-2022-33917 és a CVE-2022-36449 azonosítók együttesen követik nyomon, a közös sebezhetőségi pontozási rendszer (CVSS) pontszáma 5,5, illetve 6,5. A második sebezhetőség magasabb CVSS-pontszámot kapott.

A Project Zero csapata szerint az alább GPU-illesztőprogramok érintettek:

CVE-2022-33917 — Valhall GPU kernel-illesztőprogram: minden verzió r29p0-tól r38p0-ig
CVE-2022-36449 – Midgard GPU kernel-illesztőprogram: minden verzió r4p0-tól r32p0-ig
CVE-2022-36449 — Bifrost GPU kernel-illesztőprogram: Minden verzió r0p0-tól r38p0-ig és r39p0-ig
CVE-2022-36449 – Valhall GPU kernel-illesztőprogram: Minden verzió r19p0-tól r38p0-ig és r39p0-ig

Ezek a hibák lehetővé tehetik, hogy egy alkalmazáson keresztül kód futtatására engedéllyel rendelkező támadó átvegye az irányítást az eszköz felett, és az Android-engedélyek elkerülésévél több felhasználói adathoz férhessen hozzá.

(via)

Kommentelni 2022.07.25-től csak FB oldalainkon van lehetőség!
2022.11.25.

Hozzászólás jelenleg nem lehetséges.

+