Il team Project Zero ha scoperto una grave vulnerabilità nelle GPU Adreno

Vulnerabilità per i driver delle GPU Adreno

I ricercatori di Google Project Zero hanno individuato una vulnerabilità nelle GPU Adreno di Qualcomm, ma un attacco è piuttosto improbabile.
I ricercatori di Google Project Zero hanno individuato una vulnerabilità nelle GPU Adreno di Qualcomm, ma un attacco è piuttosto improbabile.

Il team Project Zero di Google, costantemente alla ricerca di vulnerabilità software, nei mesi scorsi ne ha scovata una che interessa le GPU Adreno integrate nei chip Qualcomm Snapdragon e presenti in pressoché ogni smartphone in circolazione. Il problema è legato ai driver e alle modalità di gestione dei processi (mappatura della memoria) da parte della componente grafica chiamando in causa KGSL (Kernel Graphics Support Layer) e PID (Process ID). Per ulteriori dettagli di natura tecnica rimandiamo al post allegato a fondo articolo.

Adreno: vulnerabilità nelle GPU, ma un attacco è improbabile

Sebbene in linea teorica sia possibile eseguire un attacco al fine di forzare la falla in questione, richiederebbe un approccio estremamente complesso. Al momento non si hanno notizie di compromissioni avvenute tramite exploit.

Il problema è stato segnalato da Project Zero a Qualcomm in data 15 settembre, insieme ad alcuni suggerimenti su come risolverlo. I 90 giorni solitamente concessi per il rilascio di un fix sono scaduti il 14 dicembre. Una settimana prima, il 7 dicembre, il chipmaker ha pubblicato un correttivo e condiviso le informazioni in forma privata con i partner OEM.

Non tutto però è andato per il verso giusto. L'aggiornamento ha introdotto a sua volta un ulteriore problema, potenzialmente ancora più grave, individuato di nuovo dal team di Google e segnalato a Qualcomm il 10 dicembre. Il gruppo ha risposto avviando immediatamente un'indagine, ma all'orizzonte non ci sono fix. Non siamo al corrente delle tempistiche necessarie per assistere ora alla distribuzione di una patch in grado di risolvere la falla in modo definitivo, ma si tratta di una questione urgente ora che i dettagli sulla vulnerabilità sono stati resi noti pubblicamente.

Fonte: Project Zero
Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti