MALI GPU Sicherheitslücke in ARM Bifrost und Valhall GPU Kernel-Treibern entdeckt

Eine schwerwiegende Use After Free-Sicherheitslücke wurde in den GPU Kernel-Treibern von Arm Ltd entdeckt, die sowohl die Bifrost als auch die Valhall MALI GPU-Architekturen betrifft. Diese Schwachstelle ermöglicht es lokalen, nicht privilegierten Nutzern, auf bereits freigegebenen Speicher zuzugreifen und dadurch unbefugte Operationen durchzuführen.

Die Sicherheitslücke (CVE-2024-4610) betrifft die Bifrost GPU Kernel Driver-Versionen von r34p0 bis r40p0 sowie die Valhall GPU Kernel Driver-Versionen im gleichen Bereich. Das Problem tritt auf, wenn der GPU-Treiber nach der Freigabe von Speicherbereichen versucht, auf diese zuzugreifen. Dies kann dazu führen, dass unautorisierte Nutzer Speicherinhalte lesen oder manipulieren, was zu einer möglichen Ausnutzung für weitere Angriffe führt.

Die Lücke erlaubt es Angreifern, GPU-Speicherzugriffe auf unsichere Weise durchzuführen, was zur Manipulation von Daten und zur unautorisierten Ausführung von Code führen kann. Solche Schwachstellen können erhebliche Folgen für die Integrität und Sicherheit von Systemen haben, insbesondere in Umgebungen, in denen GPUs für rechenintensive Aufgaben eingesetzt werden.

Related Posts

Datenleck bie Kamera Zubehör Hersteller Peak Design betrifft eine halbe Million Datensätze

Beim kalifornischen Unternehmen Peak Design, das für seine Reisetaschen und Zubehörprodukte bekannt ist, kam es zu einem erheblichen Datenleck. Denn das Unternehmen vergaß, eine Passwortsicherung für eine Datenbank einzurichten, wodurch die Daten frei im Internet zugänglich waren. Das Leck, das von Forschern des Cybernews-Teams am 25. April 2024 entdeckt wurde, betraf eine öffentlich zugängliche Elasticsearch-Instanz. Diese Art von Datenbank wird häufig für die Suche und Analyse großer Datenmengen genutzt, sollte jedoch niemals ohne geeignete Authentifizierung im Internet zugänglich sein. Durch die fehlende Sicherung konnten Bedrohungsakteure auf sensible Kundendaten zugreifen, darunter:

Read More

Kritische RCE-Sicherheitslücke in PHP-CGI entdeckt

DEVCORE hat eine schwerwiegende Remote-Code-Execution-Sicherheitslücke (CVE-2024-4577) in PHP entdeckt. Diese Schwachstelle ermöglicht es Angreifern, durch Argument-Injection beliebigen Code auf PHP-Servern auszuführen, die unter Windows betrieben werden. Aufgrund der hohen Verbreitung und einfachen Ausnutzbarkeit von PHP stuft DEVCORE die Schwachstelle als kritisch ein. Die Lücke wurde dem PHP-Team gemeldet, das am 6. Juni 2024 einen Patch veröffentlichte.

Read More

SQL Injection Sicherheitslücke in Email Subscribers Plugin für WordPress entdeckt

Am 4. Juni 2024 wurde eine schwerwiegende Sicherheitslücke in dem Plugin “Email Subscribers by Icegram Express” für WordPress öffentlich bekannt gemacht. Diese Schwachstelle ermöglicht eine nicht authentifizierte SQL-Injection über den ‘hash’-Parameter in allen Versionen bis einschließlich 5.7.20. Das Plugin “Email Subscribers by Icegram Express” wird für E-Mail-Marketing, Newsletter und Automatisierung auf WordPress- und WooCommerce-Websites verwendet

Read More