Arm, güvenlik bir uyarıda, geniş kullanılan Mali GPU sürücülerini etkileyen aktif olarak sömürülen bir zafiyete dikkat çekiyor. Zafiyet, şu anda CVE-2023-4211 olarak takip ediliyor ve Google’ın Tehdit Analiz Grubu (TAG) ve Project Zero’dan gelen araştırmacılar tarafından Arm’a bildirildi.
Detaylar kamuoyuna açık değil, ancak güvenlik sorunu, serbest bırakılan belleğe yanlış erişim olarak tanımlanıyor ve bu, hassas verilere erişimi veya manipülasyonunu mümkün kılabilir.
Arm, danışmandaki açıklamasında, “Yerel ayrıcalıklı olmayan bir kullanıcı, serbest bırakılan belleğe yanlış GPU bellek işleme işlemleri yapabilir,” diyor.
Şirket, zafiyetin “sınırlı, hedefli sömürüye tabi olabileceğine dair kanıtlar bulduğunu” ekliyor.
Aşağıdaki sürücü sürümleri zafiyetten etkilenmektedir:
Midgard GPU çekirdek sürücüsü: r12p0’ten r32p0’ye kadar tüm sürümler
Bifrost GPU çekirdek sürücüsü: r0p0’ten r42p0’ye kadar tüm sürümler
Valhall GPU çekirdek sürücüsü: r19p0’ten r42p0’ye kadar tüm sürümler
Arm 5. Nesil GPU mimari çekirdek sürücüsü: r41p0’ten r42p0’ye kadar tüm sürümler
Midgard, Bifrost ve Valhall serileri sırasıyla 2013, 2016 ve 2019’da tanıtıldığı için daha eski cihaz modellerini ilgilendiriyor.
Valhall mimarisini kullanan popüler cihazlar (Mali-G77) arasında Samsung Galaxy S20/S20 FE, Xiaomi Redmi K30/K40, Motorola Edge 40 ve OnePlus Nord 2 bulunmaktadır.
Arm’ın beşinci nesil GPU mimarisi, Mayıs 2023’te Mali-G720 ve Mali-G620 çipleriyle premium, yüksek performanslı akıllı telefonlara yönelik olarak piyasaya sürüldü.
Satıcı, zafiyetin Bifrost, Valhall ve Arm 5. Nesil GPU mimari için kernel sürücü sürümü r43p0 ile ele alındığını söylüyor (23 Mart 2023 tarihinde yayınlandı). Midgard artık desteklenmediği için CVE-2023-4211 için bir yama alması muhtemel değil.
Vulnerable bir cihaz için bir yama mevcudiyeti, cihaz üreticisinin ve satıcısının güvenilir bir güncelleme içermeyi ne kadar hızlı yönettiğine bağlıdır. Tedarik zincirinin karmaşıklığı farklılık gösterdiği için bazı kullanıcılar diğerlerine göre düzeltmeyi daha hızlı alacaklar.
Arm’ın aynı bildirimde açıkladığı diğer zafiyetler, bir kullanıcının yerel erişime sahip bir saldırgan tarafından kullanılabilecek olan CVE-2023-33200 ve CVE-2023-34970’dir. Bu zafiyetler, Bifrost, Valhall ve Arm’ın 5. Nesil GPU mimari çekirdek sürücüsü sürümlerini r44p0’a kadar etkiler ve önerilen güncelleme hedefleri r44p1 ve r45p0’dır (15 Eylül 2023 tarihinde yayınlandı).
Bu üç zafiyet, tipik olarak kullanıcıları resmi olmayan depolardan uygulamaları indirmeye kandırarak cihaza yerel erişim sağlayan bir saldırgan tarafından kullanılabilir.