ARM pubblicato un avviso di sicurezza per confermare la presenza di tre vulnerabilità nei driver del kernel delle GPU Mali, una delle quali è stata scoperta dal Threat Analysis Group e dal team Project Zero di Google. L’azienda di Cambridge ha rilasciato le patch, già incluse da Google nel codice sorgente AOSP (Android Open Source Project).
Tre vulnerabilità nelle GPU ARM Mali
La prima vulnerabilità, indicata con CVE-2023-4211, può essere sfruttata da un utente locale con bassi privilegi per accedere alla memoria liberata della GPU. ARM sottolinea che sono già in circolazione exploit, quindi l’aggiornamento dovrebbe essere distribuito e installato al più presto.
Il problema è stato individuato nei driver delle GPU basate sulle architetture Midgard (versioni da r12p0 a r32p0), Bifrost (versioni da r0p0 a r42p0), Valhall (versioni da r19p0 a r42p0) e quinta generazione (versioni da r41p0 a r42p0). La patch è stata rilasciata con la versione r43p0 per Bifrost, Valhall e quinta generazione. Midgard non è più supportata, quindi è necessario contattare direttamente ARM.
Le altre due vulnerabilità, indicate con CVE-2023-34970 e CVE-2023-33200, permettono di sfruttare una race condition del software e di accedere alla memoria liberata. In questo caso non sono stati rilevati exploit in circolazione.
Come detto, Google ha già inserito le patch di ARM nel codice sorgente AOSP. Ma è noto che la distribuzione degli aggiornamenti di Android è piuttosto complesso, considerato il numero di passaggi necessari. Inoltre i dispositivi più vecchi non riceveranno nessun update.