CRITICAL🇬🇧 English

CVE-2025-25176

Wyciek rejestrów bezpiecznych obciążeń przez środowisko niezabezpieczone — Imagination DDK

CVSS 9.1v3.1pub. 2026-01-13upd. 2026-01-30

Podatność w Imagination DDK umożliwia wyciek pośrednich wartości rejestrów bezpiecznych obciążeń (secure workloads) do aplikacji działających w środowisku niezabezpieczonym (non-secure environment). Zagrożenie oceniono jako krytyczne (CVSS 9.1), ponieważ atakujący bez żadnego uwierzytelnienia może zdalnie uzyskać dostęp do poufnych danych oraz modyfikować dane przetwarzane przez izolowane, bezpieczne zadania.

Pokaż oryginał (EN)

Intermediate register values of secure workloads can be exfiltrated in workloads scheduled from applications running in the non-secure environment of a platform.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej izolacji zasobów (CWE-668) pomiędzy bezpiecznym a niezabezpieczonym środowiskiem wykonawczym platformy. Pośrednie wartości rejestrów należące do bezpiecznych obciążeń (secure workloads) mogą być odczytane przez zadania zlecone z aplikacji działających w środowisku niezabezpieczonym. Atakujący może zaplanować odpowiednio spreparowane obciążenie z poziomu niezabezpieczonego środowiska i w ten sposób przechwycić wrażliwe dane z rejestrów izolowanego kontekstu bezpiecznego.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przetwarzanych przez bezpieczne obciążenia (naruszenie poufności) oraz potencjalnie zmodyfikować te dane (naruszenie integralności), co zagraża mechanizmom izolacji zaufanego środowiska wykonawczego na platformie.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.imaginationtech.com/gpu-driver-vulnerabilities/

Kogo dotyczy

Imagination Technologies DDK — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Imaginationtech Ddk

    APP
    Imaginationtech
    < 25.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-21732CRITICAL9.6PL ✓ten sam produkt

Out-of-bounds write w kompilatorze GPU shader Imagination Technologies DDK

CVE-2025-13952CRITICAL9.8PL ✓ten sam produkt

Use-after-free w kompilatorze shaderów GPU biblioteki Imagination DDK

CVE-2026-45195HIGH7.8ten sam produkt

Kernel software installed and running inside a Host VM may post improper commands to the GPU Firmware to trigg...

CVE-2026-21734HIGH7.7ten sam produkt

A web page that contains unusual GPU shader code is loaded into the GPU compiler process and can trigger a wri...

CVE-2026-22165HIGH8.1ten sam produkt

A web page that contains unusual WebGPU content loaded into the GPU GLES render process and can trigger a writ...