Arm ha pubblicato un bollettino di sicurezza per confermare una vulnerabilità nelle GPU Mali basate sulle architetture Bifrost e Valhall. L’azienda di Cambridge (Regno Unito) ha rilevato un exploit che sfrutta il bug, quindi i produttori dei dispositivi dovrebbero rilasciare al più presto un aggiornamento che include la patch fornita.
Accesso alla memoria della GPU
La vulnerabilità, indicata con CVE-2024-4610, è del tipo “user-after-free”. Si verifica quando un software usa un puntatore per accedere ad una locazione di memoria già liberata (non contiene più dati o istruzioni). Ciò potrebbe portare alla divulgazione di informazioni sensibili o l’esecuzione di codice arbitrario nella memoria della GPU.
Arm specifica che l’exploit non richiede privilegi elevati, per cui è sufficiente accedere al dispositivo. Il bug è stato individuato nelle versioni comprese tra r34p0 e r40p0 dei driver del kernel delle GPU Mai basate sulle architetture Bifrost e Valhall.
La patch è stata inclusa nella versione r41p0. Le GPU Bifrost e Valhall sono molto popolari, essendo integrate in SoC per smartphone, tablet, Chromebook, smart TV e sistemi di infotainment con i nomi Mali-G31/G51/G52/G57/G71/G76/G77.
La patch deve essere aggiunta ai firmware dai produttori dei dispositivi e, in alcuni casi, serve anche l’approvazione degli operatori telefonici. Oltre alla lentezza della procedura c’è il problema dell’abbandono dei vecchi dispositivi Android che non verranno mai aggiornati.