Google Project Zero, scoperta falla ad alto rischio nelle GPU Qualcomm Adreno

15 Dicembre 2020 23

Google Project Zero ha scoperto una falla di sicurezza ad alto rischio nelle GPU Qualcomm Adreno; dal momento che il chipmaker non è stato capace di sviluppare una patch adeguata entro 90 giorni da quando ha ricevuto la notifica privatamente, ora Google ne ha rilasciato pubblicamente i dettagli, seguendo una prassi adottata da molti nel settore per incentivare le aziende responsabili a intervenire con rapidità ed efficacia.

I dettagli tecnici della vulnerabilità possono essere letti seguendo il link FONTE in basso, ma precisiamo subito che è una lettura molto tecnica; l'estrema sintesi della questione è che un errore nel sistema di gestione della condivisione delle mappature di memoria può garantire a un processo figlio i permessi di lettura della memoria allocata da un processo padre senza che quest'ultimo ne sia a conoscenza e senza autorizzazione. Il processo figlio potrebbe in sostanza essere un malware, che potrebbe quindi estrarre dati sensibili all'insaputa dell'utente.

I ricercatori di Project Zero riconoscono che sarebbe un exploit piuttosto complesso da eseguire, soprattutto considerando quanto sia più semplice indurre l'utente a condividere i propri dati personali con l'inganno. Ma una falla va tappata a prescindere, e Qualcomm così ha fatto; il problema è che Google si è accorta che la patch del chipmaker conteneva a sua volta una nuova falla.

Project Zero ha suggerito di sospendere il rilascio della patch e Qualcomm ha detto che investigherà, ma ormai la deadline di tre mesi era scaduta e Google ha pubblicato la propria scoperta, come dicevamo in apertura. È curioso osservare che a quanto pare Qualcomm non ha fatto richiesta di un po' di tempo aggiuntivo, altra pratica standard quando si verificano casi del genere. Ora il chipmaker deve spingere sull'acceleratore prima che qualche hacker trovi un sistema efficace per sfruttare la falla.


23

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Boronius

Ma Google ha il diritto di fare una cosa del genere? Nel senso, trovare falle nelle tecnologie di possibili competitor. Non dovrebbe essere una pratica proibita?

MK50

Sei circondato da trolls, lascia perdere. ;)

derapage

dipende se erano montanti su PC o Mac

Silvano

Falla.

Gabriele Gabry

Falla o feature?

Ikaro

https://media4.giphy.com/me...

Ivan Clemente Cabrera

hai capito tutto

Silvano

Maradona Junior, esatto.

Silvano

Era la falla Intel Spectre.

Silvano

Ammettilo, ex mighione.

Silvano

Accidenti :)))

Nino

Ammettilo.

Nino

Accidenti :)))

ErCipolla

Esatto, e visto che è pubblica lo sanno tutti e si possono prendere le contromisure del caso. Altrimenti se è segreta che ne sai di chi la sta sfruttando (tipicamente gente malintenzionata)?

Andrej Peribar

Te la dico io una.

Le due espressioni corrette sono "pepe al c u l o" e "sale sulla coda"... però poiché volevo scrivere la prima ma avevo timore delle parole in blacklist... le ho fuse... effettivamente sbagliando.

Karato

Accidenti.
Non riesco mai a beccarti in fallo :)

Andrej Peribar

volevo storpiare il nome per dargli un tono ironico per quello le virgolette... m'è uscita male. XD

mEledetto!

Karato

"melentenzionati"
Ti sei comprato un iPhone.
Ammettilo!

Karato

Mai sentiti dire.
No Spectre era in un film mi pare.

Igioz

Meltdown and Spectre
un pò gli somiglia come funzionamento

Karato

"garantire a un processo figlio i permessi di lettura della memoria allocata da un processo padre senza che quest'ultimo ne sia a conoscenza e senza autorizzazione."
Mi ricorda un po' il figlio di Maradona.

Andrej Peribar
Matteo

Ok quindi adesso c'è una falla... pubblica

https://media2.giphy.com/me...

Android 12 Developer Preview: tutte le novità nascoste e non annunciate | Video

Oppo X 2021 provato! Il pieghevole che si srotola è quello che vorrei | Video

Recensione Xiaomi Mi 11 5G: difficile chiedere di più

Samsung vs. Apple: confronto tra tutti i Galaxy S21 e tutti gli iPhone 12