CVE-2020-11261
Qualcomm Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
2021-12-01
Memory corruption due to improper check to return error when user application requests memory allocation of a huge size in Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CWE-787) возникает в компонентах Qualcomm из-за отсутствия корректной проверки размера запрашиваемой памяти. Когда пользовательское приложение запрашивает выделение чрезмерно большого блока памяти, система не возвращает ожидаемую ошибку, что приводит к повреждению памяти (memory corruption).
- Вектор атаки: Локальный злоумышленник может запустить специально сконструированное приложение, которое запросит аномально большой объем памяти.
- Результат: Это вызывает повреждение смежных областей памяти, что может привести к отказу в обслуживании (DoS), раскрытию информации или выполнению произвольного кода с привилегиями ядра.
Как исправить
Уязвимость устранена в обновлениях прошивок (фирмваров) от Qualcomm. Необходимо обновить ПО устройства до версии, содержащей исправление.
-
Определите точную модель SoC (Snapdragon) и версию прошивки вашего устройства.
bash # На Android-устройстве (через ADB или терминал) adb shell getprop ro.boot.hardware.sku adb shell getprop ro.build.version.security_patch # Или cat /proc/cpuinfo | grep -i qualcomm -
Установите обновление безопасности от производителя устройства (OEM). Патч включен в обновления для следующих версий (и новее):
- Snapdragon Auto, Compute, Connectivity, Consumer/Industrial IOT, Mobile, Voice & Music, Wearables:
- Обновления безопасности, выпущенные после декабря 2020 года. Конкретные номера сборок зависят от производителя устройства (Samsung, Xiaomi, Google и т.д.).
- Конкретно для компонента: Исправление было внедрено в исходный код Qualcomm. Производители устройств получают его в виде обновлений для компонента
QSEE(Qualcomm Secure Execution Environment) или аналогичных низкоуровневых компонентов.
Действия: * Для серверов/ПК на Snapdragon Compute: Проверьте наличие обновлений микрокода/UEFI от производителя оборудования (например, Lenovo, HP). * Для мобильных и IoT-устройств: Установите последнее доступное обновление операционной системы (Security Patch Level должен быть не ранее января 2021 г.). * Настройки → Система → Обновление системы → Проверить наличие обновлений.
- Snapdragon Auto, Compute, Connectivity, Consumer/Industrial IOT, Mobile, Voice & Music, Wearables:
Временное решение
Прямых временных решений на уровне конфигурации не существует, так как уязвимость находится в низкоуровневом компоненте чипа. Меры носят ограничительный характер:
-
Строгая политика установки приложений:
- Разрешайте установку приложений только из доверенных источников (официальные магазины приложений).
- На корпоративных устройствах используйте MDM (Mobile Device Management) для белого списка приложений.
- Отключите установку из неизвестных источников (
Настройки → Безопасность).
-
Минимизация привилегий:
- Не используйте устройство с активированными root- или административными правами в рабочей среде.
- Запускайте непроверенные приложения в изолированных средах (sandbox), если такие возможности предусмотрены ОС.
-
Сетевые ограничения (для IoT):
- Изолируйте уязвимые устройства в отдельном сегменте сети (VLAN) с строгими правилами межсегментного фильтрования.
- Настройте правила на межсетевом экране (Firewall) на запрет всех входящих соединений к таким устройствам, кроме абсолютно необходимых для их работы.
Важно: Эти меры лишь усложняют эксплуатацию уязвимости, но не устраняют ее. Установка обновления от производителя — единственное надежное решение.