Un ensemble de cinq failles de sécurité de gravité moyenne dans le pilote GPU Mali d’Arm est resté non corrigé sur les appareils Android pendant des mois, malgré les correctifs publiés par le fabricant de puces.
Google Project Zero, qui a découvert et signalé les bogues, a déclaré qu’Arm avait corrigé les lacunes en juillet et août 2022.
« Ces correctifs ne sont pas encore parvenus en aval sur les appareils Android concernés (y compris Pixel, Samsung, Xiaomi, Oppo et autres) », a déclaré le chercheur de Project Zero, Ian Beer. a dit dans un rapport. « Les appareils avec un GPU Mali sont actuellement vulnérables. »
Les vulnérabilités, regroupées sous les identifiants CVE-2022-33917 (score CVSS : 5,5) et CVE-2022-36449 (score CVSS : 6,5), concernent un cas de mauvais traitement de la mémoire, permettant ainsi à un utilisateur non privilégié d’accéder à la mémoire libérée.
La deuxième faille, CVE-2022-36449, peut être davantage armée pour écrire en dehors des limites du tampon et divulguer les détails des mappages de mémoire, selon un consultatif émis par Arm. La liste des pilotes concernés est ci-dessous –
CVE-2022-33917
- Pilote du noyau GPU Valhall : toutes les versions de r29p0 à r38p0
CVE-2022-36449
- Pilote du noyau GPU Midgard : toutes les versions de r4p0 à r32p0
- Pilote du noyau GPU Bifrost : toutes les versions de r0p0 à r38p0 et r39p0
- Pilote du noyau GPU Valhall : toutes les versions de r19p0 à r38p0 et r39p0
Les résultats soulignent une fois de plus comment les lacunes des correctifs peuvent rendre des millions d’appareils vulnérables à la fois et les exposer à un risque d’exploitation accrue par les acteurs de la menace.
« Tout comme il est recommandé aux utilisateurs de corriger le plus rapidement possible une fois qu’une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises », a déclaré Beer.
« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible. »