Podatność w oprogramowaniu kernela działającym w niezaufanym środowisku wykonawczym (REE) umożliwia wyciek informacji z zaufanego środowiska wykonawczego (TEE). Ze względu na wysoki wynik CVSS 9.8 i brak wymagań uwierzytelnienia, podatność stanowi poważne zagrożenie dla poufności danych.
▸ Pokaż oryginał (EN)
Kernel software installed and running inside an untrusted/rich execution environment (REE) could leak information from the trusted execution environment (TEE).
Oprogramowanie kernela zainstalowane i uruchomione wewnątrz niezaufanego/bogatego środowiska wykonawczego (REE) jest w stanie uzyskać dostęp do informacji przechowywanych lub przetwarzanych w zaufanym środowisku wykonawczym (TEE). Granica izolacji między REE a TEE — stanowiąca fundament modelu bezpieczeństwa takich architektur — nie jest odpowiednio egzekwowana, co prowadzi do nieautoryzowanego wycieku danych. CWE-280 wskazuje na niewystarczające zarządzanie uprawnieniami jako przyczynę tego stanu.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w TEE, takich jak klucze kryptograficzne, dane uwierzytelniające lub inne wrażliwe informacje, co może prowadzić do pełnego skompromitowania poufności chronionych zasobów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.imaginationtech.com/gpu-driver-vulnerabilities/
Produkty Imagination Technologies wykorzystujące sterowniki GPU — wersje wskazane w referencjach producenta (https://www.imaginationtech.com/gpu-driver-vulnerabilities/)
Podatność dotyczy architektury TEE/REE stosowanej w układach Imagination Technologies. Szczegółowe informacje o dotkniętych wersjach sterowników należy weryfikować bezpośrednio w oficjalnym biuletynie producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H