Qualcomm DSPドライバの複数の脆弱性によりセキュリティ上の懸念
2024-12-16
GoogleのProject Zeroチームは、Qualcomm DSPドライバに6つの脆弱性を見つけました。そのうちの1つは、実際に悪用されていました。Amnesty Internationalから提供されたカーネルパニックログの分析(ただし、悪用サンプルへのアクセスはありませんでした)により、これらの欠陥が明らかになりました。コードレビューでは、use-after-freeや参照カウントリークなどの複数のメモリ破損の脆弱性が発見されました。攻撃者は、inotify_event_infoオブジェクトのヒープスプレーを使ってこれらの脆弱性を悪用し、コードを実行した可能性があります。これは、Androidのサードパーティドライバのセキュリティを向上させる必要性を強調しています。