Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

www.tuoitre.vn -   29/11/2022 08:00:00 387

Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã tiếp tục không được vá trên các thiết bị Android trong nhiều tháng, mặc dù các bản sửa lỗi đã được nhà sản xuất chip phát hành.

Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

Google Project Zero, công ty đã phát hiện và báo cáo các lỗi, cho biết Arm đã giải quyết các thiếu sót vào tháng 7 và tháng 8 năm 2022.

Nhà nghiên cứu Ian Beer của Project Zero cho biết trong một báo cáo: “Những bản sửa lỗi này vẫn chưa được áp dụng cho các thiết bị Android bị ảnh hưởng (bao gồm Pixel, Samsung, Xiaomi, Oppo và các hãng khác)”. "Các thiết bị có GPU Mali hiện dễ bị tấn công."

Các lỗ hổng, được theo dõi chung dưới mã định danh CVE-2022-33917 (điểm CVSS: 5,5) và CVE-2022-36449 (điểm CVSS: 6,5), liên quan đến trường hợp xử lý bộ nhớ không đúng cách, do đó cho phép người dùng không có đặc quyền truy cập để giải phóng bộ nhớ.

Lỗ hổng thứ hai, CVE-2022-36449, có thể được vũ khí hóa thêm để ghi bên ngoài giới hạn bộ đệm và tiết lộ chi tiết về ánh xạ bộ nhớ, theo một lời khuyên do Arm đưa ra. Dưới đây là danh sách các trình điều khiển bị ảnh hưởng :

CVE-2022-33917 : Valhall GPU Kernel Driver: Tất cả các phiên bản từ r29p0 – r38p0

CVE-2022-36449 :

-          idgard GPU Kernel Driver: Tất cả các phiên bản từ r4p0 – r32p0

-          Bifrost GPU Kernel Driver: Tất cả các phiên bản từ r0p0 – r38p0, và r39p0

-          Valhall GPU Kernel Driver: Tất cả các phiên bản từ r19p0 – r38p0, và r39p0

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có quyền thực thi mã gốc trong ngữ cảnh ứng dụng để giành quyền kiểm soát hệ thống và bỏ qua mô hình quyền của Android để có quyền truy cập rộng rãi vào dữ liệu người dùng.

Google nói với The Hacker News rằng bản sửa lỗi do Arm cung cấp hiện đang được thử nghiệm cho các thiết bị Android và Pixel và nó dự kiến ​​sẽ được xuất xưởng trong vài tuần tới. Các nhà sản xuất thiết bị cầm tay Android khác được yêu cầu thực hiện bản vá để tuân thủ các yêu cầu về cấp bản vá bảo mật (SPL) trong tương lai.

Các phát hiện một lần nữa nhấn mạnh cách các lỗ hổng vá lỗi có thể khiến hàng triệu thiết bị dễ bị tổn thương cùng một lúc và khiến chúng có nguy cơ bị các tác nhân đe dọa khai thác cao.

Beer cho biết: “Giống như việc người dùng được khuyến nghị vá lỗi nhanh nhất có thể sau khi có bản phát hành chứa các bản cập nhật bảo mật, điều tương tự cũng áp dụng cho các nhà cung cấp và công ty”.

"Các công ty cần duy trì cảnh giác, theo sát các nguồn ngược dòng và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

3 lợi ích dịch vụ bảo mật được quản lý m...

06/02/2023 08:00:00 47
Nếu một doanh nghiệp chỉ phụ thuộc vào đội ngũ CNTT để xử lý toàn bộ các vấn đề liên quan đến bảo mậ...

Dịch vụ bảo mật được quản lý: Giải pháp ...

03/02/2023 08:00:00 49
Công ty an ninh mạng toàn cầu Kaspersky mới đây đã chia sẻ bối cảnh về Managed Security Service Prov...

Kaspersky Managed Security Services đạt ...

02/02/2023 08:00:00 45
Managed Security Services (MSS – Dịch vụ bảo mật được quản lý) toàn diện của Kaspersky vừa được công...

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 100
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 103
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

ChatGPT có thể giúp hacker lập trình ra ...

27/01/2023 12:00:00 57
Thay vì phải tốn công sức tìm kiếm thông tin trên các diễn đàn hay thư viện dành cho nhà phát triển ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ