Arm, Bifrost ve Valhall GPU çekirdek sürücülerinde vahşi ortamda istismar edilen bellekle ilgili bir güvenlik açığına ilişkin bir güvenlik bülteni uyarısı yayınladı.
Güvenlik sorunu CVE-2024-4610 olarak izleniyor ve Bifrost ve Valhall sürücülerinin r34p0’dan r40p0’a kadar tüm sürümlerini etkileyen bir serbest kullanım sonrası güvenlik açığıdır (UAF).
UAF kusurları, bir program serbest bırakıldıktan sonra bir bellek konumuna işaretçiyi kullanmaya devam ettiğinde ortaya çıkar. Bu hatalar bilgilerin açığa çıkmasına ve rastgele kod yürütülmesine yol açabilir.
Arm, “Ayrıcalıklara sahip olmayan yerel bir kullanıcı, zaten serbest olan belleğe erişim sağlamak için uygunsuz GPU bellek işleme işlemleri yapabilir” diye açıklıyor.
Şirket ayrıca “bu güvenlik açığının yaygın olarak kullanıldığına dair raporların farkında olduğunu” söyledi. Kullanıcıların, bu sorundan etkilendikleri takdirde yükseltme yapmaları tavsiye ediliyor.
Yonga üreticisi, 24 Kasım 2022’de yayımlanan Bifrost ve Valhall GPU Çekirdek Sürücüsü’nün r41p0 sürümündeki güvenlik açığını giderdi. Şu anda sürücülerin en son sürümü r49p0’dır.
BleepingComputer, 2022’de düzeltilen bir güvenlik açığının son tanımlayıcısını açıklığa kavuşturmak için Arm’a ulaştı. Bunun bir açıklaması, sorunun kasıtsız olarak yamalanması ve saldırılar nedeniyle keşfedilmesi olabilir.
Android’deki tedarik zincirinin karmaşıklığı nedeniyle birçok son kullanıcı, önemli gecikmelerle yamalı sürücüler alabilir.
Arm bir güvenlik güncellemesi yayınladığında, cihaz üreticilerinin bunu donanım yazılımlarına entegre etmeleri gerekiyor ve çoğu durumda operatörlerin de bunu onaylaması gerekiyor. Telefonun modeline bağlı olarak bazı üreticiler daha yeni cihazlara odaklanmayı ve eski cihazlara yönelik desteği durdurmayı tercih edebilir.
Bifrost tabanlı Mali GPU’lar akıllı telefonlarda/masalarda (G31, G51, G52, G71 ve G76), tek kartlı bilgisayarlarda, Chromebook’larda ve çeşitli gömülü sistemlerde kullanılır.
Valhall GPU’lar, Mali G57 ve G77 gibi çiplere sahip üst düzey akıllı telefonlarda/masalarda, otomotiv bilgi-eğlence sistemlerinde ve yüksek performanslı akıllı TV’lerde mevcuttur.
Etkilenen cihazlardan bazılarının artık güvenlik güncellemeleriyle desteklenmeyebileceğini unutmamak önemlidir.