CRITICAL🇬🇧 English

CVE-2025-13952

Use-after-free w kompilatorze shaderów GPU biblioteki Imagination DDK

CVSS 9.8v3.1pub. 2026-01-24upd. 2026-01-28

Podatność typu use-after-free (CWE-416) w kompilatorze shaderów GPU biblioteki Imagination DDK umożliwia wywołanie awarii procesu kompilatora poprzez specjalnie spreparowany kod shadera zawarty na stronie internetowej. Na platformach, gdzie proces kompilatora działa z uprawnieniami systemowymi, podatność może prowadzić do dalszej eskalacji uprawnień na urządzeniu.

Pokaż oryginał (EN)

A web page that contains unusual GPU shader code is loaded from the Internet into the GPU compiler process triggers a write use-after-free crash in the GPU shader compiler library. On certain platforms, when the compiler process has system privileges this could enable further exploits on the device. The shader code contained in the web page executes a path in the compiler that held onto an out of date pointer, pointing to a freed memory object.

🤖 Analiza AI
Jak działa

Strona internetowa zawierająca nietypowy kod shadera GPU jest ładowana do procesu kompilatora GPU. Kod shadera wywołuje ścieżkę wykonania w kompilatorze, która przechowuje nieaktualny wskaźnik odwołujący się do już zwolnionego obiektu w pamięci. Skutkuje to zapisem do zwolnionego obszaru pamięci (write use-after-free), co powoduje crash procesu kompilatora. Na platformach, na których proces kompilatora posiada uprawnienia systemowe, ten błąd zarządzania pamięcią może zostać wykorzystany do przeprowadzenia dalszych exploitów na urządzeniu.

Skutki

Atakujący może doprowadzić do awarii procesu kompilatora GPU, a na platformach z uprzywilejowanym procesem kompilatora — potencjalnie uzyskać możliwość wykonania dalszych exploitów z uprawnieniami systemowymi, co zagraża poufności, integralności i dostępności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.imaginationtech.com/gpu-driver-vulnerabilities/

Kogo dotyczy

Biblioteka Imagination DDK (GPU shader compiler library) — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Imaginationtech Ddk

    APP
    Imaginationtech
    < 25.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2026-21732CRITICAL9.6PL ✓ten sam produkt

Out-of-bounds write w kompilatorze GPU shader Imagination Technologies DDK

CVE-2025-25176CRITICAL9.1PL ✓ten sam produkt

Wyciek rejestrów bezpiecznych obciążeń przez środowisko niezabezpieczone — Imagination DDK

CVE-2026-45195HIGH7.8ten sam produkt

Kernel software installed and running inside a Host VM may post improper commands to the GPU Firmware to trigg...

CVE-2026-21734HIGH7.7ten sam produkt

A web page that contains unusual GPU shader code is loaded into the GPU compiler process and can trigger a wri...

CVE-2026-22165HIGH8.1ten sam produkt

A web page that contains unusual WebGPU content loaded into the GPU GLES render process and can trigger a writ...

CVE-2025-13952 — Use-after-free w kompilatorze shaderów GPU biblioteki Imagination DDK — CRITICAL 9.8 | CVEbaza.pl