Уязвимост в Arm графиката засяга милиони смартфони
Хакери към този момент се възползват от открития бъг в драйверите
Милиони смарт телефони са изложени на хакерски офанзиви от накърнимост в драйверите за Arm графиката (снимка: CC0 Public Domain)
Експерти по сигурността откриха рискови уязвимости в графичните драйвери на Arm. Те заплашват сигурността на милиони смарт телефони, защото Arm технологиите са внедрени всеобщо в мобилните устройства. Нещо повече, хакери към този момент се възползват от уязвимостите.
Arm призна за уязвимости, открити в драйверите за графичните процесори от серията Mali, които се експлоатират от нападатели и засягат необятен набор от устройства с Android, хромбуци и различен хардуер под Linux.
„ Локален непривилегирован консуматор може да извърши противозаконна интервенция с GPU памет, с цел да получи достъп до към този момент освободена памет. Проблемът е поправен за Bifrost, Valhall и драйвера на ядрото за 5-то потомство Arm GPU архитектура. Има доказателства, че уязвимостта може да бъде експлоатирана по стеснен метод ”, споделя Arm в изказване, представено от Tom’s Hardware.
още по темата
Уязвимостта разрешава на нападателя да получи достъп до освободена памет – това е публикуван механизъм за зареждане на злотворен код за употреба на други уязвимости или инсталиране на шпионски програмен продукт. Съобщението на Arm се отнася за драйверите, а не за фърмуера на GPU.
На уязвимостта е присвоен номер CVE-2023-4211 – тя визира драйвери за графични подсистеми от фамилиите Midgard, Bifrost, Valhall и чипове от пето потомство. Предполага се, че смарт телефоните Гугъл Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro и Oppo Find са уязвими, а също X5 Pro и Reno 8 Pro, както и редица телефони на платформи MediaTek.
В септемврийската актуализация Гугъл затвори уязвимостта за устройствата Pixel, както и за хромбуци – тя беше поправена с пачове от 1 септември и по-нови. Arm пусна актуализации на драйверите за Linux. Разработчикът загатна и уязвимостите CVE-2023-33200 и CVE-2023-34970, които също разрешават достъп до към този момент освободена памет.
За да употребява и трите уязвимости, хакерът се нуждае от местен достъп до устройството или би трябвало да принуди жертвата независимо да конфигурира злонамерено приложение от импровизирано вместилище. Все още не е известно за кои платформи или устройства са пуснати корекциите, такава информация могат да дадат производителите.
Милиони смарт телефони са изложени на хакерски офанзиви от накърнимост в драйверите за Arm графиката (снимка: CC0 Public Domain)
Експерти по сигурността откриха рискови уязвимости в графичните драйвери на Arm. Те заплашват сигурността на милиони смарт телефони, защото Arm технологиите са внедрени всеобщо в мобилните устройства. Нещо повече, хакери към този момент се възползват от уязвимостите.
Arm призна за уязвимости, открити в драйверите за графичните процесори от серията Mali, които се експлоатират от нападатели и засягат необятен набор от устройства с Android, хромбуци и различен хардуер под Linux.
„ Локален непривилегирован консуматор може да извърши противозаконна интервенция с GPU памет, с цел да получи достъп до към този момент освободена памет. Проблемът е поправен за Bifrost, Valhall и драйвера на ядрото за 5-то потомство Arm GPU архитектура. Има доказателства, че уязвимостта може да бъде експлоатирана по стеснен метод ”, споделя Arm в изказване, представено от Tom’s Hardware.
още по темата
Уязвимостта разрешава на нападателя да получи достъп до освободена памет – това е публикуван механизъм за зареждане на злотворен код за употреба на други уязвимости или инсталиране на шпионски програмен продукт. Съобщението на Arm се отнася за драйверите, а не за фърмуера на GPU.
На уязвимостта е присвоен номер CVE-2023-4211 – тя визира драйвери за графични подсистеми от фамилиите Midgard, Bifrost, Valhall и чипове от пето потомство. Предполага се, че смарт телефоните Гугъл Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro и Oppo Find са уязвими, а също X5 Pro и Reno 8 Pro, както и редица телефони на платформи MediaTek.
В септемврийската актуализация Гугъл затвори уязвимостта за устройствата Pixel, както и за хромбуци – тя беше поправена с пачове от 1 септември и по-нови. Arm пусна актуализации на драйверите за Linux. Разработчикът загатна и уязвимостите CVE-2023-33200 и CVE-2023-34970, които също разрешават достъп до към този момент освободена памет.
За да употребява и трите уязвимости, хакерът се нуждае от местен достъп до устройството или би трябвало да принуди жертвата независимо да конфигурира злонамерено приложение от импровизирано вместилище. Все още не е известно за кои платформи или устройства са пуснати корекциите, такава информация могат да дадат производителите.
Източник: technews.bg
КОМЕНТАРИ