Arm’ın Mali GPU sürücüsündeki beş orta düzey güvenlik açığı, çip üreticisi tarafından yayınlanan düzeltmelere rağmen aylardır Android cihazlarda yamasız kalmaya devam etti.
Hataları keşfeden ve bildiren Google Project Zero, Arm’ın Temmuz ve Ağustos 2022’de eksiklikleri giderdiğini söyledi.
Project Zero araştırmacısı Ian Beer, “Bu düzeltmeler henüz etkilenen Android cihazlarına (Pixel, Samsung, Xiaomi, Oppo ve diğerleri dahil) indirilmedi” dedi. söz konusu bir raporda. “Mali GPU’lu cihazlar şu anda savunmasız durumda.”
Tanımlayıcılar altında toplu olarak izlenen güvenlik açıkları CVE-2022-33917 (CVSS puanı: 5.5) ve CVE-2022-36449 (CVSS puanı: 6.5), uygunsuz bellek işleme durumuyla ilgilidir ve böylece ayrıcalıklı olmayan bir kullanıcının boş belleğe erişim kazanmasına izin verir.
İkinci kusur olan CVE-2022-36449, arabellek sınırlarının dışına yazmak ve bellek eşlemelerinin ayrıntılarını ifşa etmek için silah haline getirilebilir. danışma Arm tarafından yayınlandı. Etkilenen sürücülerin listesi aşağıdadır –
CVE-2022-33917
- Valhall GPU Çekirdek Sürücüsü: r29p0 – r38p0’dan itibaren tüm sürümler
CVE-2022-36449
- Midgard GPU Çekirdek Sürücüsü: r4p0’dan tüm sürümler – r32p0
- Bifrost GPU Çekirdek Sürücüsü: r0p0 – r38p0 ve r39p0’dan tüm sürümler
- Valhall GPU Çekirdek Sürücüsü: r19p0 – r38p0 ve r39p0’dan tüm sürümler
Bulgular, yama boşluklarının milyonlarca cihazı aynı anda nasıl savunmasız hale getirebileceğini ve onları tehdit aktörleri tarafından daha fazla sömürü riskine sokabileceğini bir kez daha vurguluyor.
Beer, “Kullanıcılara, güvenlik güncellemelerini içeren bir sürüm kullanıma sunulduğunda olabildiğince hızlı bir şekilde yama yapmaları önerildiği gibi, aynı şey satıcılar ve şirketler için de geçerli.” Dedi.
“Şirketlerin tetikte olması, yukarı akış kaynaklarını yakından takip etmesi ve kullanıcılara mümkün olan en kısa sürede eksiksiz yamalar sağlamak için ellerinden gelenin en iyisini yapması gerekiyor.”