В миллионах смартфонов Android обнаружили уязвимости, которые используют хакеры
В миллионах смартфонов Android обнаружили уязвимости, которые используют хакеры
Компания Arm сообщила об уязвимости, обнаруженных в драйверах графических процессоров серии Mali – они эксплуатируются злоумышленниками и касаются широкого ассортимента устройств, включая смартфоны Google Pixel и другие под управлением Android.
«Локальный непривилегированный пользователь может выполнить запретную операцию, связанную с обработкой памяти графическим процессором, чтобы получить доступ к освобожденной памяти. Проблема исправлена для Bifrost, Valhall и драйвера ядра для архитектуры графического процессора Arm 5 поколения. Есть свидетельства, что уязвимость может ограниченно целенаправленно эксплуатироваться», – говорится в заявлении Arm.
Уязвимость позволяет злоумышленнику получить доступ к освобожденной памяти – это распространенный механизм загрузки вредоносного кода для эксплуатации других уязвимостей или установки шпионского программного обеспечения. Следует отметить, что в заявлении Arm говорится о драйверах, а не о прошивке графических процессоров.
Уязвимости присвоен номер CVE-2023-4211 – она касается драйверов для графических подсистем семейств Midgard, Bifrost, Valhall и чипов пятого поколения. Предполагается, что уязвимости подвержены смартфоны Google Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro, Op. X5 Pro и Reno 8 Pro, а также ряд телефонов на платформах MediaTek.
В сентябрьском обновлении Google закрыла уязвимость для устройств линейки Pixel, а также для хромбуков – она устранена с патчами, датированными 1 сентября 2023 года и более поздними. Arm выпустила обновление драйверов под Linux. Разработчик, кроме того, упомянул уязвимости CVE-2023-33-200 и CVE-2023-34-970, которые также открывают доступ к уже освобожденной памяти.
Для эксплуатации всех трех уязвимостей хакера необходим локальный доступ к устройству, или заставить жертву самостоятельно установить вредоносное приложение из неофициального репозитория. Пока неизвестно, на каких платформах и для каких устройств выпущены патчи, поэтому рекомендуется обращаться к производителю устройства.
Напомним, что в конце сентября компания Google выпустила экстренное обновление для браузера Google Chrome по номеру 117.0.5938.132 для операционных Windows, macOS и Linux. Обновление призвано устранить критическую уязвимость нулевого дня с идентификатором CVE-2023-5217, активно эксплуатируемым хакерами.
Они там не счастливы: Ким об уехавших в страны ЕС украинцах (видео)
"Джип" и "Опель" столкнулись в Николаеве: кроссовер развернуло на 180 градусов (видео)
Истинная гармония звуков: пианист и композитор Дмитрий Смирнов вновь порадовал ценителей музыки
«125 лет любви к животным»: директор зоопарка рассказал о жизни, животных и людях (фото)
В центре Киева горел отель: эвакуировали 57 человек (видео)
Обледеневшие центральные улицы Николаева начали посыпать реагентами (видео)
В Николаевской и 19 областях проходит спецоперация по поиску уклонистов: 128 обысков, 110 подозреваемых
В комнатах +5: в Николаеве общежитию без отопления отключили свет - люди вышли протестовать
Николаев в плену у гололеда – городские власти демонстрируют полную беспомощность (фоторепортаж)