.
Imagens Getty
Arm alertou na segunda-feira sobre ataques ativos em andamento visando uma vulnerabilidade em drivers de dispositivos para sua linha de GPUs Mali, que rodam em uma série de dispositivos, incluindo Google Pixels e outros aparelhos Android, Chromebooks e hardware rodando Linux.
“Um usuário local não privilegiado pode realizar operações inadequadas de processamento de memória GPU para obter acesso à memória já liberada”, escreveram funcionários da Arm em um comunicado. “Este problema foi corrigido no Bifrost, Valhall e Arm 5th Gen GPU Architecture Kernel Driver r43p0. Há evidências de que esta vulnerabilidade pode estar sob exploração limitada e direcionada. Recomenda-se que os usuários atualizem se forem afetados por esse problema.”
O comunicado continuou: “Um usuário local sem privilégios pode realizar operações inadequadas de processamento de GPU para acessar uma quantidade limitada fora dos limites do buffer ou para explorar uma condição de corrida de software. Se a memória do sistema for cuidadosamente preparada pelo usuário, isso, por sua vez, poderá dar-lhe acesso à memória já liberada.”
Obter acesso à memória do sistema que não está mais em uso é um mecanismo comum para carregar código malicioso em um local que um invasor pode executar. Esse código geralmente permite que eles explorem outras vulnerabilidades ou instalem cargas maliciosas para espionar o usuário do telefone. Os invasores geralmente obtêm acesso local a um dispositivo móvel enganando os usuários para que baixem aplicativos maliciosos de repositórios não oficiais. O comunicado menciona que os drivers das GPUs afetadas são vulneráveis, mas não menciona o microcódigo executado dentro dos próprios chips.
A plataforma mais afetada pela vulnerabilidade é a linha Pixels do Google, que é um dos únicos modelos Android a receber atualizações de segurança em tempo hábil. O Google corrigiu Pixels em sua atualização de setembro contra a vulnerabilidade, que é rastreada como CVE-2023-4211. O Google também corrigiu Chromebooks que usam GPUs vulneráveis. Qualquer dispositivo que mostre um nível de patch de 01/09/2023 ou posterior está imune a ataques que exploram a vulnerabilidade. O driver de dispositivo em dispositivos corrigidos será exibido como versão r44p1 ou r45p0.
CVE-2023-4211 está presente em uma variedade de GPUs Arm lançadas na última década. Os chips Arm afetados são:
- Driver do kernel da GPU Midgard: todas as versões de r12p0 – r32p0
- Driver do kernel da GPU Bifrost: todas as versões de r0p0 – r42p0
- Driver Valhall GPU Kernel: todas as versões de r19p0 – r42p0
- Driver do kernel da arquitetura GPU Arm de 5ª geração: todas as versões de r41p0 – r42p0
Os dispositivos que se acredita usarem os chips afetados incluem Google Pixel 7, Samsung S20 e S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro e Reno 8 Pro e alguns telefones da Mediatek.
Arm também disponibiliza drivers para os chips afetados para dispositivos Linux.
Atualmente, pouco se sabe sobre a vulnerabilidade, exceto que Arm atribuiu a descoberta das explorações ativas a Maddie Stone, pesquisadora da equipe do Project Zero do Google. O Project Zero rastreia vulnerabilidades em dispositivos amplamente utilizados, especialmente quando eles estão sujeitos a ataques de dia zero ou de n dias, que se referem àqueles que visam vulnerabilidades para as quais não há patches disponíveis ou aqueles que foram corrigidos recentemente.
O comunicado da Arm na segunda-feira revelou duas vulnerabilidades adicionais que também receberam patches. CVE-2023-33200 e CVE-2023-34970 permitem que um usuário não privilegiado explore uma condição de corrida para realizar operações impróprias de GPU para acessar a memória já liberada.
Todas as três vulnerabilidades podem ser exploradas por um invasor com acesso local ao dispositivo, o que normalmente é conseguido enganando os usuários para que baixem aplicativos de repositórios não oficiais.
Atualmente não se sabe quais outras plataformas, se houver, possuem patches disponíveis. Até que essas informações possam ser rastreadas, as pessoas devem verificar com o fabricante do seu dispositivo. Infelizmente, muitos dispositivos Android vulneráveis recebem patches meses ou até anos depois de serem disponibilizados, se é que o recebem.
.
