Arm’ın Mali GPU sürücüsündeki beş orta düzey güvenlik açığı, çip üreticisi tarafından yayınlanan düzeltmelere rağmen aylardır Android cihazlarda yamasız kalmaya devam etti.
Hataları keşfeden ve bildiren Google Project Zero, Arm’ın Temmuz ve Ağustos 2022’de eksiklikleri giderdiğini söyledi.
Project Zero araştırmacısı Ian Beer bir raporda, “Bu düzeltmeler henüz etkilenen Android cihazlarına (Pixel, Samsung, Xiaomi, Oppo ve diğerleri dahil) indirilmedi” dedi. “Mali GPU’lu cihazlar şu anda savunmasız durumda.”
CVE-2022-33917 (CVSS puanı: 5.5) ve CVE-2022-36449 (CVSS puanı: 6.5) tanımlayıcıları altında toplu olarak izlenen güvenlik açıkları, uygunsuz bellek işleme durumuyla ilgilidir ve böylece ayrıcalığı olmayan bir kullanıcının erişim kazanmasına olanak tanır Boş hafızaya.
Arm tarafından yayınlanan bir danışma belgesine göre, ikinci kusur olan CVE-2022-36449, arabellek sınırlarının dışına yazmak ve bellek eşlemelerinin ayrıntılarını ifşa etmek için silah haline getirilebilir. Etkilenen sürücülerin listesi aşağıdadır –
CVE-2022-33917
- Valhall GPU Çekirdek Sürücüsü: r29p0 – r38p0’dan itibaren tüm sürümler
CVE-2022-36449
- Midgard GPU Çekirdek Sürücüsü: r4p0’dan tüm sürümler – r32p0
- Bifrost GPU Çekirdek Sürücüsü: r0p0 – r38p0 ve r39p0’dan tüm sürümler
- Valhall GPU Çekirdek Sürücüsü: r19p0 – r38p0 ve r39p0’dan tüm sürümler
Bulgular, yama boşluklarının milyonlarca cihazı aynı anda nasıl savunmasız hale getirebileceğini ve onları tehdit aktörleri tarafından daha fazla sömürü riskine sokabileceğini bir kez daha vurguluyor.
Beer, “Kullanıcılara, güvenlik güncellemelerini içeren bir sürüm kullanıma sunulduğunda olabildiğince hızlı bir şekilde yama yapmaları önerildiği gibi, aynı şey satıcılar ve şirketler için de geçerli.” Dedi.
“Şirketlerin tetikte olması, yukarı akış kaynaklarını yakından takip etmesi ve kullanıcılara mümkün olan en kısa sürede eksiksiz yamalar sağlamak için ellerinden gelenin en iyisini yapması gerekiyor.”