Исследователи Google раскрывают уязвимость «высокой степени серьезности» в графических процессорах Qualcomm Adreno

Команда Google Project Zero (GPZ) раскрыла уязвимость безопасности «высокой» степени серьезности в графических процессорах Qualcomm Adreno. Поскольку производитель чипов не смог разработать адекватный патч в течение 90 дней после получения уведомления от Project Zero, Google теперь публично опубликовал детали ошибки.

Для тех, кто не в курсе, согласно пересмотренной политике раскрытия информации, GPZ должен ждать как минимум 90 дней, прежде чем публично раскрыть детали уязвимости безопасности, даже если ошибка была исправлена до истечения этого срока. Кроме того, поставщики могут запросить дополнительный 14-дневный льготный период от Google, если они считают, что не смогут исправить сообщенную уязвимость в течение 90 дней.

Драйвер графического процессора Adreno ассоциирует частную структуру устройства («process_priv») с каждым дескриптором файла KGSL, который содержит таблицы страниц, используемые для переключения контекста GPU. Эта структура связана с PID вызывающего процесса и может повторно использоваться несколько раз другими дескрипторами файлов KGSL в том же процессе (предположительно, для экономии затрат на выполнение переключения контекста GPU между контекстами рисования в одном процессе).

Когда процесс создаёт дочерний процесс, дочерний процесс наследует дескрипторы файлов KGSL родительского процесса вместе с частной структурой, связанной с PID родителя. Если дочерний процесс удерживает дескриптор файла KGSL, который изначально был открыт в родительском процессе, и если этот родительский процесс завершает работу, то дочерний процесс все равно удерживает ссылку на частную структуру, связанную с PID родителя.

Однако, если PID родителя повторно используется жертвой, то жертва будет повторно использовать существующую частную структуру, а не создавать новую. На практике это дает дочернему процессу (атакующему) возможность читать любые последующие общие отображения GPU, которые создает процесс-жертва, поскольку их контексты рисования считаются работающими в одном контексте GPU.

Согласно Google Project Zero, «реальная атака потребует от атакующего зациклить PID, а затем инициировать либо хорошо рассчитанный намерение, либо перезапуск системной службы через сбой. Эксплуатация, вероятно, попытается восстановить содержимое композитинга GPU жертвы (или результаты других операций GPU).»

15 сентября 2020 года исследовательская команда Google связалась с Qualcomm, чтобы сообщить о уязвимости вместе с предложениями по исправлению ошибок. Исследовательская команда дала Qualcomm 90-дневный срок в соответствии с пересмотренной политикой раскрытия информации (который истекал 14 декабря), чтобы исправить проблему до публичного раскрытия деталей ошибки.

Далее, 7 декабря 2020 года, Qualcomm проинформировала Project Zero, что проблема (CVE-2020-11311) была решена и была опубликована в частном бюллетене OEM с запланированным публичным уведомлением на январь 2021 года. На это исследовательская команда Google ответила, что проблема будет раскрыта 14 декабря и запросила ссылку на соответствующие патчи, которые были предоставлены Qualcomm.

При исследовании предложенного патча Google обнаружила, что он вводит проблему подсчета ссылок, что приводит к уязвимости UAF (например, патч для этой утечки информации вводит уязвимость повышения привилегий ядра). Project Zero поделился деталями новой уязвимости UAF, которую вводит патч, 10 декабря 2020 года, на что Qualcomm ответила, что они исследуют новую информацию.

Поскольку срок 14 декабря не был соблюден Qualcomm, Project Zero продолжил и публично раскрыл уязвимость высокой степени серьезности в драйвере GPU Adreno. Хотя согласно пересмотренной политике раскрытия информации поставщики могут запросить дополнительный льготный период в 14 дней для исправления уязвимости, в бюллетене Google неясно, сделал ли это Qualcomm.

С учетом того, что уязвимость безопасности теперь публична, Qualcomm должна ускорить работу, прежде чем какие-либо атакующие найдут эффективный способ эксплуатации этой уязвимости.