
Kerentanan zero-day, yang dilacak sebagai CVE-2024-44068, telah ditemukan di milik Samsung prosesor seluler dan digunakan dalam rantai eksploitasi untuk eksekusi kode arbitrer.
Kerentanan ini diberi skor CVSS kritis 8,1 dari 10 dan telah ditambal dalam serangkaian perbaikan keamanan Samsung pada bulan Oktober.
A Penasihat Institut Standar dan Teknologi Nasional (NIST). pada bug menggambarkannya sebagai “sebuah masalah [that] ditemukan dalam driver scaler m2m di Prosesor Seluler Samsung dan Prosesor Wearable Exynos 9820, 9825, 980, 990, 850, dan W920.” Bug penggunaan setelah bebas pada prosesor seluler pada akhirnya mengarah pada peningkatan hak istimewa, tambah agensi tersebut.
Peneliti Google Xingyu Jin diberi penghargaan karena melaporkan kelemahan tersebut awal tahun ini, dan peneliti Google TAG Clement Lecigne memperingatkan hal itu ada eksploitasi di alam liar.
“Eksploitasi zero-day ini adalah bagian dari rantai EoP,” kata Jin dan Lecigne. “Aktor dapat mengeksekusi kode arbitrer dalam proses server kamera yang memiliki hak istimewa. Eksploitasi juga mengganti nama proses itu sendiri menjadi '[email protected]', mungkin untuk tujuan anti-forensik.”