Eine Reihe von fünf Sicherheitslücken mittlerer Schwere im Mali-GPU-Treiber von Arm bleibt seit Monaten auf Android-Geräten ungepatched, obwohl der Chip-Hersteller Korrekturen veröffentlicht hat.
Laut Google Project Zero, das die Fehler entdeckt und gemeldet hat, hat Arm die Mängel im Juli und August 2022 behoben.
„Diese Korrekturen sind noch nicht auf die betroffenen Android-Geräte (einschließlich Pixel, Samsung, Xiaomi, Oppo und andere) gelangt“, sagte Project Zero-Forscher Ian Beer in einem Bericht. „Geräte mit einer Mali-GPU sind derzeit anfällig.“
Die Schwachstellen, die unter den Kennungen CVE-2022-33917 (CVSS-Score: 5.5) und CVE-2022-36449 (CVSS-Score: 6.5) zusammengefasst sind, betreffen einen Fall von unsachgemäßer Speicherverarbeitung, wodurch ein nicht privilegierter Benutzer Zugriff auf freigegebenen Speicher erhalten kann.
Die zweite Schwachstelle, CVE-2022-36449, kann als weitere Waffe eingesetzt werden, um außerhalb von Puffergrenzen zu schreiben und Details von Speicherzuordnungen offenzulegen, wie aus einem von Arm veröffentlichten Advisory hervorgeht. Die Liste der betroffenen Treiber ist unten aufgeführt.
CVE-2022-33917
- Valhall GPU Kernel-Treiber: Alle Versionen von r29p0 – r38p0
CVE-2022-36449
- Midgard GPU Kernel-Treiber: Alle Versionen von r4p0 – r32p0
- Bifrost GPU-Kernel-Treiber: Alle Versionen von r0p0 – r38p0, und r39p0
- Valhall GPU-Kernel-Treiber: Alle Versionen von r19p0 – r38p0, und r39p0
Die Ergebnisse verdeutlichen einmal mehr, wie Lücken in Patches Millionen von Geräten gleichzeitig angreifbar machen können und sie einem erhöhten Risiko der Ausnutzung durch Bedrohungsakteure aussetzen.
„Genauso wie den Nutzern empfohlen wird, so schnell wie möglich Patches zu installieren, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen“, so Beer.
„Unternehmen müssen wachsam bleiben, die Upstream-Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so schnell wie möglich vollständige Patches zur Verfügung zu stellen.“
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com