مجموعهای از پنج نقص امنیتی با شدت متوسط در درایور Arm Mali GPU، علیرغم وصلههای منتشر شده توسط سازنده این تراشه، این نقصها در دستگاههای اندرویدی بدون وصله برای ماهها باقی ماندهاند.
این آسیبپذیریها که تحت شناسههای CVE-2022-33917 (امتیاز CVSS: 5.5) و CVE-2022-36449 (امتیاز CVSS: 6.5) ردیابی میشوند، مربوط به یک مورد پردازش نامناسب memory است که در نتیجه به مهاجم اجازه دسترسی به حافظه آزادشده را میدهد.
بر اساس اطلاعیهای که Arm منتشر کرده است CVE-2022-36449، میتواند برای write outside of buffer bounds استفاده شود.
لیست درایورهای آسیبپذیر به شرح زیر است:
CVE-2022-33917:
بهرهبرداری موفقیتآمیز از نقصها به مهاجم با دسترسی اجازه میدهد که کدهای native را در یک برنامه اجرا کند و کنترل سیستم را در دست بگیرد، همچنین به مهاجم اجازه میدهد مجوزهای اندروید را دور بزند و به دادههای کاربر بصورت گسترده دسترسی داشته باشد.
این آسیبپذیریها که تحت شناسههای CVE-2022-33917 (امتیاز CVSS: 5.5) و CVE-2022-36449 (امتیاز CVSS: 6.5) ردیابی میشوند، مربوط به یک مورد پردازش نامناسب memory است که در نتیجه به مهاجم اجازه دسترسی به حافظه آزادشده را میدهد.
بر اساس اطلاعیهای که Arm منتشر کرده است CVE-2022-36449، میتواند برای write outside of buffer bounds استفاده شود.
لیست درایورهای آسیبپذیر به شرح زیر است:
CVE-2022-33917:
- Valhall GPU Kernel Driver: همه نسخهها از r29p0 – r38p0
- Midgard GPU Kernel Driver: همه نسخهها از r4p0 – r32p0
- Bifrost GPU Kernel Driver: همه نسخهها از r0p0 – r38p0, and r39p0
- Valhall GPU Kernel Driver: همه نسخهها از r19p0 – r38p0, and r39p0
بهرهبرداری موفقیتآمیز از نقصها به مهاجم با دسترسی اجازه میدهد که کدهای native را در یک برنامه اجرا کند و کنترل سیستم را در دست بگیرد، همچنین به مهاجم اجازه میدهد مجوزهای اندروید را دور بزند و به دادههای کاربر بصورت گسترده دسترسی داشته باشد.