Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

www.tuoitre.vn -   29/11/2022 08:00:00 844

Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã tiếp tục không được vá trên các thiết bị Android trong nhiều tháng, mặc dù các bản sửa lỗi đã được nhà sản xuất chip phát hành.

Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

Google Project Zero, công ty đã phát hiện và báo cáo các lỗi, cho biết Arm đã giải quyết các thiếu sót vào tháng 7 và tháng 8 năm 2022.

Nhà nghiên cứu Ian Beer của Project Zero cho biết trong một báo cáo: “Những bản sửa lỗi này vẫn chưa được áp dụng cho các thiết bị Android bị ảnh hưởng (bao gồm Pixel, Samsung, Xiaomi, Oppo và các hãng khác)”. "Các thiết bị có GPU Mali hiện dễ bị tấn công."

Các lỗ hổng, được theo dõi chung dưới mã định danh CVE-2022-33917 (điểm CVSS: 5,5) và CVE-2022-36449 (điểm CVSS: 6,5), liên quan đến trường hợp xử lý bộ nhớ không đúng cách, do đó cho phép người dùng không có đặc quyền truy cập để giải phóng bộ nhớ.

Lỗ hổng thứ hai, CVE-2022-36449, có thể được vũ khí hóa thêm để ghi bên ngoài giới hạn bộ đệm và tiết lộ chi tiết về ánh xạ bộ nhớ, theo một lời khuyên do Arm đưa ra. Dưới đây là danh sách các trình điều khiển bị ảnh hưởng :

CVE-2022-33917 : Valhall GPU Kernel Driver: Tất cả các phiên bản từ r29p0 – r38p0

CVE-2022-36449 :

-          idgard GPU Kernel Driver: Tất cả các phiên bản từ r4p0 – r32p0

-          Bifrost GPU Kernel Driver: Tất cả các phiên bản từ r0p0 – r38p0, và r39p0

-          Valhall GPU Kernel Driver: Tất cả các phiên bản từ r19p0 – r38p0, và r39p0

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có quyền thực thi mã gốc trong ngữ cảnh ứng dụng để giành quyền kiểm soát hệ thống và bỏ qua mô hình quyền của Android để có quyền truy cập rộng rãi vào dữ liệu người dùng.

Google nói với The Hacker News rằng bản sửa lỗi do Arm cung cấp hiện đang được thử nghiệm cho các thiết bị Android và Pixel và nó dự kiến ​​sẽ được xuất xưởng trong vài tuần tới. Các nhà sản xuất thiết bị cầm tay Android khác được yêu cầu thực hiện bản vá để tuân thủ các yêu cầu về cấp bản vá bảo mật (SPL) trong tương lai.

Các phát hiện một lần nữa nhấn mạnh cách các lỗ hổng vá lỗi có thể khiến hàng triệu thiết bị dễ bị tổn thương cùng một lúc và khiến chúng có nguy cơ bị các tác nhân đe dọa khai thác cao.

Beer cho biết: “Giống như việc người dùng được khuyến nghị vá lỗi nhanh nhất có thể sau khi có bản phát hành chứa các bản cập nhật bảo mật, điều tương tự cũng áp dụng cho các nhà cung cấp và công ty”.

"Các công ty cần duy trì cảnh giác, theo sát các nguồn ngược dòng và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 43
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 47
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 42
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...

Kaspersky phát hiện biến thể Lite mới củ...

29/10/2024 08:00:00 38
Tại Hội nghị thượng đỉnh phân tích bảo mật (SAS) 2024, Nhóm nghiên cứu và phân tích toàn cầu của Kas...

Trình duyệt Opera sửa lỗ hổng bảo mật lớ...

28/10/2024 08:00:00 32
Một lỗ hổng bảo mật hiện đã được vá trong trình duyệt web Opera có thể cho phép tiện ích mở rộng độc...

Apple mở mã nguồn PCC cho các nhà nghiên...

24/10/2024 12:00:00 31
Apple đã công khai cung cấp Môi trường nghiên cứu ảo (VRE) Private Cloud Compute (PCC), cho phép cộn...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ