Arm'ın Mali GPU sürücüsündeki beş orta dereceli güvenlik açığı, yonga üreticisi tarafından yayınlanan düzeltmelere rağmen Android cihazlarda aylardır düzeltilmeden kalmaya devam ediyor.
Hataları keşfeden ve raporlayan Google Project Zero, Arm'ın Temmuz ve Ağustos 2022'de eksiklikleri giderdiğini söyledi.
Project Zero araştırmacısı Ian Beer bir raporda, "Bu düzeltmeler henüz etkilenen Android cihazlara (Pixel, Samsung, Xiaomi, Oppo ve diğerleri dahil) ulaşmadı" dedi. "Mali GPU'ya sahip cihazlar şu anda savunmasız durumda."
CVE-2022-33917 (CVSS puanı: 5.5) ve CVE-2022-36449 (CVSS puanı: 6.5) tanımlayıcıları altında toplu olarak izlenen güvenlik açıkları, yanlış bellek işleme durumuyla ilgilidir, böylece ayrıcalıklı olmayan bir kullanıcının serbest belleğe erişim kazanmasına izin verir.
Arm tarafından yayınlanan bir danışmanlığa göre, ikinci kusur olan CVE-2022-36449, tampon sınırlarının dışına yazmak ve bellek eşlemelerinin ayrıntılarını ifşa etmek için daha fazla silah haline getirilebilir. Etkilenen sürücülerin listesi aşağıdadır.
CVE-2022-33917
- Valhall GPU Kernel Driver: All versions from r29p0 – r38p0
CVE-2022-36449
- Midgard GPU Kernel Driver: All versions from r4p0 – r32p0
- Bifrost GPU Kernel Driver: All versions from r0p0 – r38p0, and r39p0
- Valhall GPU Kernel Driver: All versions from r19p0 – r38p0, and r39p0
Kusurların başarılı bir şekilde kullanılması, uygulama bağlamında yerel kod çalıştırma iznine sahip bir saldırganın sistemin kontrolünü ele geçirmesine ve kullanıcı verilerine geniş erişim elde etmek için Android'in izin modelini atlamasına izin verebilir.
Bulgular, yama açıklarının milyonlarca cihazı aynı anda nasıl savunmasız hale getirebileceğini ve tehdit aktörleri tarafından daha fazla istismar edilme riskine sokabileceğini bir kez daha vurgulamaktadır.
Beer, "Kullanıcıların güvenlik güncellemelerini içeren bir sürüm çıktığında mümkün olduğunca çabuk yama yapmaları önerildiği gibi, aynı şey satıcılar ve şirketler için de geçerlidir" dedi.
"Şirketlerin tetikte olmaları, yukarı akış kaynaklarını yakından takip etmeleri ve kullanıcılara mümkün olan en kısa sürede eksiksiz yamalar sunmak için ellerinden geleni yapmaları gerekiyor."
thehackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder