Arm kwetsbaarheid leidt tot Code Execution, Root op Pixel 6 telefoons

Man Yue Mo meldde de kwetsbaarheid aan het Android-beveiligingsteam in juli 2022, samen met proof-of-concept (PoC) code die laat zien hoe het probleem kan worden uitgebuit om code uit te voeren en root-toegang te krijgen op de Pixel 6. Sommige van de softjobs dragen de kernel op om JIT-geheugen toe te wijzen en vrij te maken, en CVE-2022-38181 houdt hiermee verband: kwaadaardige code kan worden gebruikt om een JIT-geheugenregio toe te voegen aan een uitzettingslijst en vervolgens geheugendruk te creëren om een kwetsbare uitzettingsfunctie te activeren, met als gevolg dat de JIT-regio wordt vrijgemaakt zonder de pointer vrij te maken. Na de patch van Arm in oktober 2022 heeft Google een fix voor deze kwetsbaarheid opgenomen in de beveiligingsupdate van januari 2023 voor Pixel-apparaten, maar zonder de CVE-ID of de oorspronkelijke bug-ID's te vermelden, aldus de onderzoeker.