Qualcomm DSP 드라이버의 여러 취약성으로 인한 보안 우려
2024-12-16
Google의 Project Zero팀은 Qualcomm DSP 드라이버에서 6개의 취약성을 발견했습니다. 그중 하나는 실제로 악용되었습니다. Amnesty International에서 제공한 커널 패닉 로그 분석(하지만 악용 샘플에는 접근하지 못했습니다)을 통해 이러한 결함이 드러났습니다. 코드 검토를 통해 use-after-free 및 참조 카운트 누수 등 여러 메모리 손상 취약성이 발견되었습니다. 공격자는 inotify_event_info 객체의 힙 스프레이를 사용하여 이러한 취약성을 악용하여 코드를 실행했을 가능성이 있습니다. 이는 Android의 타사 드라이버 보안을 개선해야 할 필요성을 강조합니다.