A Google Project Zero szerint a Google, a Samsung, a Xiaomi és számos más gyártó hónapokig nem foglalkozott az Arm’s Mali GPU-illesztőprogramjával kapcsolatos felfedett biztonsági hibákkal kapcsolatban, pedig ekkor a javítás már rendelkezésükre állt, a gyártó 2022 júliusában és augusztusában javításokat adott ki az öt közepes súlyosságú hibára.
Ezek a javítások még nem jutottak el az érintett Android-eszközökhöz (beleértve a Pixelt, a Samsungot, a Xiaomit, az Oppo-t és másokat)
– mondta Ian Beer, a Project Zero kutatója.
A mali GPU-val rendelkező eszközök jelenleg sebezhetőek.
A biztonsági rések a helytelen memóriafeldolgozáshoz kapcsolódnak, amely lehetővé teheti a rosszindulatú szereplők számára a felszabadult memória elérését. A hibákat a CVE-2022-33917 és a CVE-2022-36449 azonosítók együttesen követik nyomon, a közös sebezhetőségi pontozási rendszer (CVSS) pontszáma 5,5, illetve 6,5. A második sebezhetőség magasabb CVSS-pontszámot kapott.
A Project Zero csapata szerint az alább GPU-illesztőprogramok érintettek:
CVE-2022-33917 — Valhall GPU kernel-illesztőprogram: minden verzió r29p0-tól r38p0-ig
CVE-2022-36449 – Midgard GPU kernel-illesztőprogram: minden verzió r4p0-tól r32p0-ig
CVE-2022-36449 — Bifrost GPU kernel-illesztőprogram: Minden verzió r0p0-tól r38p0-ig és r39p0-ig
CVE-2022-36449 – Valhall GPU kernel-illesztőprogram: Minden verzió r19p0-tól r38p0-ig és r39p0-ig
Ezek a hibák lehetővé tehetik, hogy egy alkalmazáson keresztül kód futtatására engedéllyel rendelkező támadó átvegye az irányítást az eszköz felett, és az Android-engedélyek elkerülésévél több felhasználói adathoz férhessen hozzá.
