ARM heeft gewaarschuwd voor actieve aanvallen die gericht zijn op een kwetsbaarheid in de apparaatstuurprogramma's voor zijn Mali-lijn van gpu's. Deze gpu’s zijn verwerkt in verschillende apparaten, waaronder Google Pixels en andere Android-telefoons, Chromebooks en hardware met Linux onder de motorkap.
Volgens ARM kan een lokale gebruiker zonder rechten onjuiste bewerkingen uitvoeren op het gpu-geheugen om toegang te krijgen tot reeds vrijgegeven geheugen. Arm-medewerkers melden inmiddels het volgende in een advies: “Dit probleem is verholpen in Bifrost, Valhall en Arm 5th Gen gpu Architecture Kernel Driver r43p0. Er zijn aanwijzingen dat deze kwetsbaarheid beperkt en gericht kan worden uitgebuit. Gebruikers wordt aangeraden om te upgraden als dit probleem hen treft."
Het advies meldt verder: "Een lokale niet-geprivilegieerde gebruiker kan onjuiste gpu-verwerkingsbewerkingen uitvoeren om toegang te krijgen tot een beperkte hoeveelheid buiten de buffer bounds of een software race condition misbruiken. Als de gebruiker het systeemgeheugen zorgvuldig prepareert, kan dit hem toegang geven tot reeds vrijgemaakt geheugen."
Toegang krijgen tot systeemgeheugen dat niet langer in gebruik is, is een veelgebruikt mechanisme voor het laden van kwaadaardige code op een locatie die een aanvaller vervolgens kan uitvoeren. Met deze code kunnen ze vaak andere kwetsbaarheden misbruiken of schadelijke payloads installeren om de telefoongebruiker te bespioneren.
Aanvallers krijgen vaak lokale toegang tot een mobiel apparaat door gebruikers te verleiden tot het downloaden van schadelijke toepassingen uit onofficiële bronnen. Het advies vermeldt dat drivers voor de getroffen gpu's kwetsbaar zijn, maar noemt niet de microcode die in de chips draait. Het meest voorkomende platform dat getroffen is door de kwetsbaarheid zijn de Pixels van Google, die als een van de weinige Android-modellen tijdig beveiligingsupdates ontvangen.
Google heeft de Pixels in zijn update van september gepatcht tegen het beveiligingslek, dat is getraceerd als CVE-2023-4211. Daarnaast zijn ook Chromebooks gepatcht die gebruikmaken van de kwetsbare gpu's. Elk apparaat met een patchniveau van 2023-09-01 of later is immuun voor aanvallen die gebruikmaken van het lek.
De apparaatdriver op gepatchte apparaten wordt weergegeven als versie r44p1 of r45p0. CVE-2023-4211 is aanwezig in Arm gpu's die in de afgelopen tien jaar zijn uitgebracht. De getroffen Arm-chips zijn:
- Midgard gpu kernel driver: alle versies van r12p0 - r32p0
- Bifrost gpu kernel driver: alle versies van r0p0 - r42p0
- Valhall gpu kernel driver: alle versies van r19p0 - r42p0
- Arm 5e gen gpu architecture kernel stuurprogramma: alle versies van r41p0 - r42p0
Bron: Fudzilla
