CVE-2026-22165: Write UAF in GPU DDK 1.18.0–26.1 RTM
Plateforme
linux
Composant
imagination-technologies-gpu-ddk
Corrigé dans
24.2.1
La vulnérabilité CVE-2026-22165 affecte le GPU DDK, spécifiquement les versions 1.18.0–26.1 RTM. Elle se manifeste lorsqu'une page web contenant du contenu WebGPU inhabituel est chargée dans le processus de rendu GLES du GPU, ce qui peut provoquer un crash par écriture après libération (Write UAF) dans la bibliothèque partagée côté utilisateur du GPU GLES. Si le processus exécutant la charge de travail graphique dispose de privilèges système, cela pourrait permettre des exploits plus larges sur l'appareil. Une correction est disponible dans la version 24.2.1.
Impact et Scénarios d'Attaque
Cette vulnérabilité Write UAF peut être exploitée pour provoquer un crash du système ou, plus grave, permettre à un attaquant de prendre le contrôle de l'appareil. L'exploitation réussie nécessite que le processus graphique dispose de privilèges système, ce qui augmente considérablement le potentiel d'impact. Un attaquant pourrait potentiellement exécuter du code arbitraire, accéder à des données sensibles ou compromettre l'intégrité du système. Bien qu'il n'y ait pas de détails spécifiques sur l'exploitation publique, la nature de la vulnérabilité Write UAF est souvent associée à des exploits de sécurité complexes et à une escalade de privilèges. La possibilité d'exploiter cette vulnérabilité sur des appareils disposant de privilèges système est particulièrement préoccupante.
Contexte d'Exploitation
La vulnérabilité CVE-2026-22165 a été publiée le 1er mai 2026. La sévérité de CVSS est en cours d'évaluation. Il n'y a pas d'informations disponibles concernant une exploitation active ou des campagnes ciblant cette vulnérabilité. L'absence de preuves d'exploitation publique ne diminue pas le risque potentiel, compte tenu de la nature de la vulnérabilité Write UAF et de son impact potentiel sur les systèmes disposant de privilèges système.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour le GPU DDK vers la version 24.2.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il n'existe pas de contournement direct pour empêcher la vulnérabilité. En attendant la mise à jour, il est recommandé de limiter l'accès aux ressources graphiques et de surveiller attentivement les processus exécutant des charges de travail graphiques. Il est également conseillé de renforcer les contrôles d'accès et de privilèges sur le système pour minimiser l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que la version du GPU DDK a bien été mise à jour en utilisant les outils de gestion des packages du système d'exploitation.
Comment corrigertraduction en cours…
Actualice el driver de GPU DDK a la versión 24.2.1 o posterior para mitigar la vulnerabilidad de uso después de liberar (UAF). Verifique la documentación de Imagination Technologies para obtener instrucciones específicas de actualización para su plataforma y configuración. Asegúrese de aplicar las actualizaciones de seguridad más recientes para su sistema operativo y hardware.
Questions fréquentes
What is CVE-2026-22165 — Write UAF in GPU DDK 1.18.0–26.1 RTM?
CVE-2026-22165 décrit une vulnérabilité Write UAF dans le GPU DDK, versions 1.18.0–26.1 RTM. Elle se produit lors du chargement de contenu WebGPU inhabituel, pouvant entraîner un crash et potentiellement permettre des exploits plus larges.
Am I affected by CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTM?
Vous êtes affecté si vous utilisez le GPU DDK versions 1.18.0–26.1 RTM et que votre système exécute des applications web qui chargent du contenu WebGPU. Vérifiez votre version actuelle du GPU DDK.
How do I fix CVE-2026-22165 in GPU DDK 1.18.0–26.1 RTM?
La correction consiste à mettre à jour le GPU DDK vers la version 24.2.1 ou ultérieure. En attendant, limitez l'accès aux ressources graphiques et surveillez les journaux système.
Is CVE-2026-22165 being actively exploited?
À l'heure actuelle, il n'y a pas de preuves d'exploitation active de CVE-2026-22165. Cependant, la nature de la vulnérabilité justifie une attention particulière et une application rapide de la correction.
Where can I find the official GPU DDK advisory for CVE-2026-22165?
Consultez le site web du fabricant du GPU pour obtenir l'avis officiel concernant CVE-2026-22165. Les informations de sécurité sont généralement publiées dans la section des avis de sécurité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...