Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã tiếp tục không được vá trên các thiết bị Android trong nhiều tháng, mặc dù các bản sửa lỗi đã được nhà sản xuất chip phát hành.
Google Project Zero, công ty đã phát hiện và báo cáo các lỗi, cho biết Arm đã giải quyết các thiếu sót vào tháng 7 và tháng 8 năm 2022.
Nhà nghiên cứu Ian Beer của Project Zero cho biết trong một báo cáo: “Những bản sửa lỗi này vẫn chưa được áp dụng cho các thiết bị Android bị ảnh hưởng (bao gồm Pixel, Samsung, Xiaomi, Oppo và các hãng khác)”. “Các thiết bị có GPU Mali hiện dễ bị tấn công.”
Các lỗ hổng, được theo dõi chung dưới mã định danh CVE-2022-33917 (điểm CVSS: 5,5) và CVE-2022-36449 (điểm CVSS: 6,5), liên quan đến trường hợp xử lý bộ nhớ không đúng cách, do đó cho phép người dùng không có đặc quyền truy cập để giải phóng bộ nhớ.
Lỗ hổng thứ hai, CVE-2022-36449, có thể được vũ khí hóa thêm để ghi bên ngoài giới hạn bộ đệm và tiết lộ chi tiết về ánh xạ bộ nhớ, theo một lời khuyên do Arm đưa ra. Dưới đây là danh sách các trình điều khiển bị ảnh hưởng –
CVE-2022-33917
Valhall GPU Kernel Driver: tất cả các phiên bản từ r29p0 – r38p0
CVE-2022-36449
Trình điều khiển hạt nhân GPU Midgard: Tất cả các phiên bản từ r4p0 – r32p0 Trình điều khiển hạt nhân GPU Bifrost: Tất cả các phiên bản từ r0p0 – r38p0 và r39p0 Trình điều khiển hạt nhân GPU Valhall: Tất cả các phiên bản từ r19p0 – r38p0 và r39p0
Các phát hiện một lần nữa nhấn mạnh cách các lỗ hổng vá lỗi có thể khiến hàng triệu thiết bị dễ bị tổn thương cùng một lúc và khiến chúng có nguy cơ bị các tác nhân đe dọa khai thác cao.
Beer cho biết: “Giống như việc người dùng được khuyến nghị vá lỗi nhanh nhất có thể sau khi có bản phát hành chứa các bản cập nhật bảo mật, điều tương tự cũng áp dụng cho các nhà cung cấp và công ty”.
“Các công ty cần duy trì cảnh giác, theo sát các nguồn ngược dòng và cố gắng hết sức để cung cấp các bản vá hoàn chỉnh cho người dùng càng sớm càng tốt.”
