Appareils Android

Un ensemble de cinq failles de sécurité de gravité moyenne dans le pilote GPU Mali d’Arm est resté non corrigé sur les appareils Android pendant des mois, malgré les correctifs publiés par le fabricant de puces.

Google Project Zero, qui a découvert et signalé les bogues, a déclaré qu’Arm avait corrigé les lacunes en juillet et août 2022.

« Ces correctifs ne sont pas encore parvenus en aval sur les appareils Android concernés (y compris Pixel, Samsung, Xiaomi, Oppo et autres) », a déclaré le chercheur de Project Zero, Ian Beer. a dit dans un rapport. « Les appareils avec un GPU Mali sont actuellement vulnérables. »

Les vulnérabilités, regroupées sous les identifiants CVE-2022-33917 (score CVSS : 5,5) et CVE-2022-36449 (score CVSS : 6,5), concernent un cas de mauvais traitement de la mémoire, permettant ainsi à un utilisateur non privilégié d’accéder à la mémoire libérée.

La deuxième faille, CVE-2022-36449, peut être davantage armée pour écrire en dehors des limites du tampon et divulguer les détails des mappages de mémoire, selon un consultatif émis par Arm. La liste des pilotes concernés est ci-dessous –

Publicité

CVE-2022-33917

  • Pilote du noyau GPU Valhall : toutes les versions de r29p0 à r38p0

CVE-2022-36449

  • Pilote du noyau GPU Midgard : toutes les versions de r4p0 à r32p0
  • Pilote du noyau GPU Bifrost : toutes les versions de r0p0 à r38p0 et r39p0
  • Pilote du noyau GPU Valhall : toutes les versions de r19p0 à r38p0 et r39p0

Les résultats soulignent une fois de plus comment les lacunes des correctifs peuvent rendre des millions d’appareils vulnérables à la fois et les exposer à un risque d’exploitation accrue par les acteurs de la menace.

« Tout comme il est recommandé aux utilisateurs de corriger le plus rapidement possible une fois qu’une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises », a déclaré Beer.

« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible. »


Rate this post
Publicité
Article précédentLes choses arrivent à une fin décisive dans l’événement final de la fracture de Fortnite
Article suivantLes chaînes YouTube Primetime vous permettent de payer pour les services de streaming
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici