Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Fehler im Mali-GPU-Treiber von Arm bleiben auf Android-Geräten ungepatched
6. Dezember 2022. TuxCare PR Team
Trotz der vom Chiphersteller veröffentlichten Korrekturen sind fünf Sicherheitslücken mittlerer Schwere im Mali-GPU-Treiber von Arm seit Monaten auf Android-Geräten von Samsung, Oppo, Xiaomi und Google ungepatcht geblieben.
Eine der fünf Schwachstellen führt zu einer Beschädigung des Kernspeichers, eine andere macht physische Adressen zugänglich und drei verursachen eine Bedingung für die Nutzung physischer Seiten nach dem Freigeben, die es einem Angreifer ermöglicht, physische Seiten zu lesen und zu schreiben, nachdem sie an das System zurückgegeben wurden. Die Schwachstellen betreffen Geräte, die den Mali-Grafikprozessor von Arm verwenden, d. h. sie betreffen das Google Pixel, das Samsung Galaxy und eine Vielzahl anderer Android-Smartphones.
Die Schwachstellen, zu denen eine Beschädigung des Kernelspeichers, eine Schwachstelle bei der Offenlegung physikalischer Adressen und ein Use-after-free-Bug gehören, wurden im Zusammenhang mit Zero-Days und Exploit-Listen im Dark Web entdeckt.
Im Prinzip könnten diese Schwachstellen es einem Angreifer ermöglichen, physische Seiten zu lesen und zu schreiben, nachdem sie an das System zurückgegeben wurden. Mit anderen Worten: Ein Angreifer, der nativen Code in einer App ausführt, könnte vollen Zugriff auf das System erhalten und das Berechtigungsmodell von Android OS umgehen.
Zwischen Juli und August hat Arm die fünf Schwachstellen gepatcht, sie als Sicherheitsprobleme auf seiner Seite für Schwachstellen bekannt gegeben und die gepatchten Treiber auf seiner Entwickler-Website veröffentlicht. Bislang hat noch kein großer Hersteller Patches veröffentlicht. Google hat jedoch erklärt, dass der von Arm bereitgestellte Fix derzeit für Android- und Pixel-Geräte getestet wird und in den kommenden Wochen veröffentlicht werden soll. Andere Hersteller von Android-Geräten müssen den Patch einspielen, um die zukünftigen Anforderungen an das Security Patch Level (SPL) zu erfüllen.
Google Project Zero, eine Gruppe von Sicherheitsanalysten, die von Google LLC beauftragt wurde, Sicherheitslücken zu finden, warnt, dass die Hersteller von Android-Telefonen es versäumt haben, Patches für mehrere Sicherheitslücken bereitzustellen, die Anfang des Jahres in der Mali-Grafikeinheit entdeckt wurden.
Google sagt in einer Erklärung der Android- und Pixel-Teams, dass ein Fix für diese Schwachstelle derzeit getestet wird und in den kommenden Wochen verfügbar sein wird. Android-Partner müssen den Patch ebenfalls anwenden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
