CRITICAL🇬🇧 English

CVE-2025-6573

Wyciek danych z TEE przez oprogramowanie kernela w środowisku REE

CVSS 9.8v3.1pub. 2025-08-09upd. 2026-04-15

Podatność w oprogramowaniu kernela działającym w niezaufanym środowisku wykonawczym (REE) umożliwia wyciek informacji z zaufanego środowiska wykonawczego (TEE). Ze względu na wysoki wynik CVSS 9.8 i brak wymagań uwierzytelnienia, podatność stanowi poważne zagrożenie dla poufności danych.

Pokaż oryginał (EN)

Kernel software installed and running inside an untrusted/rich execution environment (REE) could leak information from the trusted execution environment (TEE).

🤖 Analiza AI
Jak działa

Oprogramowanie kernela zainstalowane i uruchomione wewnątrz niezaufanego/bogatego środowiska wykonawczego (REE) jest w stanie uzyskać dostęp do informacji przechowywanych lub przetwarzanych w zaufanym środowisku wykonawczym (TEE). Granica izolacji między REE a TEE — stanowiąca fundament modelu bezpieczeństwa takich architektur — nie jest odpowiednio egzekwowana, co prowadzi do nieautoryzowanego wycieku danych. CWE-280 wskazuje na niewystarczające zarządzanie uprawnieniami jako przyczynę tego stanu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w TEE, takich jak klucze kryptograficzne, dane uwierzytelniające lub inne wrażliwe informacje, co może prowadzić do pełnego skompromitowania poufności chronionych zasobów.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.imaginationtech.com/gpu-driver-vulnerabilities/

Kogo dotyczy

Produkty Imagination Technologies wykorzystujące sterowniki GPU — wersje wskazane w referencjach producenta (https://www.imaginationtech.com/gpu-driver-vulnerabilities/)

Uwagi

Podatność dotyczy architektury TEE/REE stosowanej w układach Imagination Technologies. Szczegółowe informacje o dotkniętych wersjach sterowników należy weryfikować bezpośrednio w oficjalnym biuletynie producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-6573 — Wyciek danych z TEE przez oprogramowanie kernela w środowisku REE — CRITICAL 9.8 | CVEbaza.pl