Linux · Linux Kernel · CVE-2024-42313
Nome do software vulnerável e versões afetadas:
Versões do kernel Linux anteriores à 6.6.50
Descrição:
O problema está relacionado a uma vulnerabilidade do tipo “use after free” na função `vdec close()` do driver Qualcomm Venus V4L2 do kernel Linux. Essa vulnerabilidade pode ser explorada quando o dispositivo decodificador é fechado aleatoriamente a partir do espaço do usuário durante a decodificação normal, podendo levar a uma situação de “read after free”. O firmware adiciona tarefas de liberação de buffer à fila de trabalho por meio de callbacks HFI como parte do processo de decodificação. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que esse problema tenha sido explorado.
Recomendações:
Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior.
Como solução temporária, considere desativar a função `vdec close()` até que um patch esteja disponível.
Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração.
Evite usar o dispositivo decodificador a partir do espaço do usuário durante a decodificação normal até que o problema seja resolvido.