CVE-2024-42313

Nome do software vulnerável e versões afetadas:

Versões do kernel Linux anteriores à 6.6.50

Descrição:

O problema está relacionado a uma vulnerabilidade do tipo “use after free” na função vdec close() do driver Qualcomm Venus V4L2 do kernel Linux. Essa vulnerabilidade pode ser explorada quando o dispositivo decodificador é fechado aleatoriamente a partir do espaço do usuário durante a decodificação normal, podendo levar a uma situação de “read after free”. O firmware adiciona tarefas de liberação de buffer à fila de trabalho por meio de callbacks HFI como parte do processo de decodificação. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que esse problema tenha sido explorado.

Recomendações:

Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior.

Como solução temporária, considere desativar a função vdec close() até que um patch esteja disponível.

Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração.

Evite usar o dispositivo decodificador a partir do espaço do usuário durante a decodificação normal até que o problema seja resolvido.