Mobile Devices

Die Schwachstelle betrifft Samsung-Mobilgeräte mit Mali-GPU und steckt in der Behandlung der sec_log-Datei. Aufgrund einer unzureichenden Zugriffskontrolle ist diese Datei nicht ausreichend gegen Zugriffe aus dem Benutzerbereich (Userspace) abgeschirmt. Dadurch gelangen sensible Informationen aus dem Kernel – also dem besonders geschützten Kern des Betriebssystems – an gewöhnliche Anwendungen, die solche Daten normalerweise nicht einsehen dürfen. Für sich genommen erlaubt der Fehler keine direkte Übernahme des Geräts, doch die preisgegebenen Kernel-Informationen sind für Angreifer wertvoll: Sie helfen dabei, interne Schutzmechanismen des Systems auszuhebeln, und lassen sich als Baustein in einer Angriffskette nutzen, um weitergehende Lücken gezielt auszunutzen. In der beobachteten Ausnutzung wurde dieser Informationsabfluss genau in dieser Weise mit weiteren Schwachstellen kombiniert. Betroffen sind Samsung-Mobilgeräte mit der genannten GPU.