Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

www.tuoitre.vn -   29/11/2022 08:00:00 676

Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã tiếp tục không được vá trên các thiết bị Android trong nhiều tháng, mặc dù các bản sửa lỗi đã được nhà sản xuất chip phát hành.

Hàng triệu thiết bị Android vẫn chưa có bản vá lỗi GPU Mali

Google Project Zero, công ty đã phát hiện và báo cáo các lỗi, cho biết Arm đã giải quyết các thiếu sót vào tháng 7 và tháng 8 năm 2022.

Nhà nghiên cứu Ian Beer của Project Zero cho biết trong một báo cáo: “Những bản sửa lỗi này vẫn chưa được áp dụng cho các thiết bị Android bị ảnh hưởng (bao gồm Pixel, Samsung, Xiaomi, Oppo và các hãng khác)”. "Các thiết bị có GPU Mali hiện dễ bị tấn công."

Các lỗ hổng, được theo dõi chung dưới mã định danh CVE-2022-33917 (điểm CVSS: 5,5) và CVE-2022-36449 (điểm CVSS: 6,5), liên quan đến trường hợp xử lý bộ nhớ không đúng cách, do đó cho phép người dùng không có đặc quyền truy cập để giải phóng bộ nhớ.

Lỗ hổng thứ hai, CVE-2022-36449, có thể được vũ khí hóa thêm để ghi bên ngoài giới hạn bộ đệm và tiết lộ chi tiết về ánh xạ bộ nhớ, theo một lời khuyên do Arm đưa ra. Dưới đây là danh sách các trình điều khiển bị ảnh hưởng :

CVE-2022-33917 : Valhall GPU Kernel Driver: Tất cả các phiên bản từ r29p0 – r38p0

CVE-2022-36449 :

-          idgard GPU Kernel Driver: Tất cả các phiên bản từ r4p0 – r32p0

-          Bifrost GPU Kernel Driver: Tất cả các phiên bản từ r0p0 – r38p0, và r39p0

-          Valhall GPU Kernel Driver: Tất cả các phiên bản từ r19p0 – r38p0, và r39p0

Việc khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công có quyền thực thi mã gốc trong ngữ cảnh ứng dụng để giành quyền kiểm soát hệ thống và bỏ qua mô hình quyền của Android để có quyền truy cập rộng rãi vào dữ liệu người dùng.

Google nói với The Hacker News rằng bản sửa lỗi do Arm cung cấp hiện đang được thử nghiệm cho các thiết bị Android và Pixel và nó dự kiến ​​sẽ được xuất xưởng trong vài tuần tới. Các nhà sản xuất thiết bị cầm tay Android khác được yêu cầu thực hiện bản vá để tuân thủ các yêu cầu về cấp bản vá bảo mật (SPL) trong tương lai.

Các phát hiện một lần nữa nhấn mạnh cách các lỗ hổng vá lỗi có thể khiến hàng triệu thiết bị dễ bị tổn thương cùng một lúc và khiến chúng có nguy cơ bị các tác nhân đe dọa khai thác cao.

Beer cho biết: “Giống như việc người dùng được khuyến nghị vá lỗi nhanh nhất có thể sau khi có bản phát hành chứa các bản cập nhật bảo mật, điều tương tự cũng áp dụng cho các nhà cung cấp và công ty”.

"Các công ty cần duy trì cảnh giác, theo sát các nguồn ngược dòng và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 205
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 325
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 298
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 269
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 311
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 237
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ