Les chercheurs de Google révèlent une vulnérabilité de « haute gravité » dans les GPU Qualcomm Adreno

L’équipe Project Zero (GPZ) de Google a divulgué une faille de sécurité de « haute » gravité dans les GPU Qualcomm Adreno. Étant donné que le fabricant de puces n’a pas été en mesure de développer un correctif adéquat dans les 90 jours suivant la notification de Project Zero, Google a maintenant publié publiquement les détails du bug.

Pour ceux qui ne le savent pas, selon la politique de divulgation révisée, GPZ doit attendre au moins 90 jours avant de révéler publiquement les détails d’un bug de sécurité, même si le bug est corrigé avant cette échéance. De plus, les fournisseurs peuvent demander une période de grâce supplémentaire de 14 jours à Google s’ils estiment qu’ils ne pourront pas corriger la vulnérabilité signalée dans les 90 jours.

Le pilote GPU Adreno associe une structure de périphérique privée (« process_priv ») à chaque descripteur de fichier KGSL, qui contient les tables de pages utilisées pour le changement de contexte GPU. Cette structure est liée au PID du processus appelant et peut être réutilisée plusieurs fois par des descripteurs de fichier KGSL supplémentaires dans le même processus (presque pour économiser le coût d’un changement de contexte GPU entre les contextes de dessin dans le même processus).

Lorsqu’un processus se fork, l’enfant hérite des descripteurs de fichier KGSL du parent ainsi que de la structure privée associée au PID du parent. Si un processus enfant détient un descripteur de fichier KGSL qui a été ouvert à l’origine dans un processus parent, et si ce processus parent se termine, alors l’enfant détient toujours une référence à la structure privée associée au PID du parent.

Cependant, si le PID du parent est réutilisé par un processus victime, alors la victime réutilisera la structure privée existante plutôt que d’en créer une nouvelle. En pratique, cela donne au processus enfant (un attaquant) la capacité de lire toutes les mappages GPU partagés ultérieurs que le processus victime crée puisque leurs contextes de dessin sont considérés comme étant exécutés dans le même contexte GPU.

Selon Google Project Zero, « une attaque dans le monde réel nécessiterait que l’attaquant boucle le PID et déclenche ensuite soit une intention bien chronométrée, soit un redémarrage de service système via un bug de plantage. L’exploitation tenterait alors probablement de récupérer le contenu du compositing GPU de la victime (ou les résultats d’autres opérations GPU). »

Le 15 septembre 2020, l’équipe de recherche de Google a contacté Qualcomm pour signaler la vulnérabilité ainsi que des suggestions de correction de bug. L’équipe de recherche a donné à Qualcomm un délai de 90 jours selon la politique de divulgation révisée (qui expirerait le 14 décembre) pour corriger le problème avant de révéler publiquement les détails du bug.

De plus, le 7 décembre 2020, Qualcomm a informé Project Zero que le problème (CVE-2020-11311) avait été résolu et partagé dans le bulletin OEM privé avec un avis public prévu pour janvier 2021. À cela, l’équipe de recherche de Google a répondu que le problème serait divulgué le 14 décembre et a demandé un lien vers les correctifs pertinents, qui a été rapidement fourni par Qualcomm.

En enquêtant sur le correctif proposé, Google a découvert qu’il introduisait un problème de comptage de références conduisant à un UAF exploitable (par exemple, le correctif pour ce bug de fuite d’informations introduit un bug d’escalade de privilèges du noyau). Project Zero a partagé les détails du nouvel UAF que le correctif introduit le 10 décembre 2020, auquel Qualcomm a répondu qu’ils enquêtaient sur les nouvelles informations.

Puisque la date limite du 14 décembre n’a pas été respectée par Qualcomm, Project Zero a décidé de rendre publique la faille de haute gravité dans le pilote GPU Adreno. Bien que selon la politique de divulgation révisée, les fournisseurs puissent demander une période de grâce supplémentaire de 14 jours pour corriger la faille, il n’est pas clair dans le bulletin de Google si Qualcomm l’a fait.

Avec le bug de sécurité maintenant public, Qualcomm doit accélérer le processus avant que des attaquants ne trouvent un moyen efficace d’exploiter la faille.