A l'occasion de la 36ème conférence de communication du chaos, une nouvelle faille 3DS a été annoncée, ce nouveau hack a été corrigé à compter du firmware 11.12.0-44.
Pour le moment pour test l'exploit il faut disposer de Luma3DS, il faut l'exécuter via un firmware ancien 11.12 maximum car il faut avoir accès aux privilèges.
LazyPixie-safehax est un exploit kernel permettant une écriture arbitraire dans le code de gestion des buffers tampons PXI.
La 3DS possède deux processeurs principaux : un Arm11 MPCORE (2 ou 4 coeurs), qui exécute le système principal, les jeux...et un Arm9TDMI, qui gère les accès aux périphériques de stockage et les tâches de sécurité.
Les deux processeurs exécutent le même système d'exploitation, Horizon OS. Le noyau est un micro-noyau et les pilotes sont implémentés en userland (dans les "sysmodules").
Chaque processus Arm11 possède une liste blanche d'appels système, une liste d'accès aux services et une liste d'accès MMIO.
Les jeux et autres applications ont le moins de privilèges.
Les " services " ont plus de privilèges, y compris évidemment la capacité de répondre aux demandes de service. L'Arm9 exécute une version réduite du système d'exploitation. Il n'y a qu'un seul processus en mode utilisateur qui tourne sur l'Arm9, appelé Process9 qui est autorisé à exécuter du code en mode superviseur !
Les deux processeurs communiquent entre eux à travers les registres PXI MMIO (qui sont en fait deux FIFO).
Le module système Arm11 pxi (qui est également un pilote) communique avec le Process9 de cette façon. Il transmet toutes les requêtes IPC et les réponses qu'il reçoit telles quelles, c'est cela qui est utilisé via des caches spécifiques.
Le kernel exploit est proposé et hébergé ici par TuxSH ici
Tout est expliqué ici :
.
