Les failles du pilote du GPU Mali d'Arm ne sont toujours pas corrigées sur les appareils Android.
Malgré les correctifs publiés par le fabricant de puces, un ensemble de cinq failles de sécurité de gravité moyenne dans le pilote du GPU Mali d'Arm n'a pas été corrigé sur les appareils Android tels que Samsung, Oppo, Xiaomi et Google depuis des mois.
L'une des cinq vulnérabilités provoque une corruption de la mémoire du noyau, une autre expose des adresses physiques, et trois provoquent une condition d'utilisation de page physique après la libération, permettant à un attaquant de lire et d'écrire des pages physiques après qu'elles ont été retournées au système. Les vulnérabilités affectent les appareils qui utilisent le GPU Mali d'Arm, ce qui signifie qu'elles affectent le Google Pixel, le Samsung Galaxy, et une pléthore d'autres smartphones Android.
Les failles, qui comprennent un défaut de corruption de la mémoire du noyau, une vulnérabilité de divulgation d'adresse physique et un bogue d'utilisation après la libération, ont été découvertes à l'intersection de zero-days et de listes d'exploits sur le dark web.
En principe, ces failles pourraient permettre à un attaquant de lire et d'écrire des pages physiques après leur retour au système. En d'autres termes, un attaquant ayant exécuté du code natif dans une application pourrait obtenir un accès complet au système et contourner le modèle de permission d'Android OS.
Entre juillet et août, Arm a corrigé les cinq vulnérabilités, les a divulguées en tant que problèmes de sécurité sur sa page de vulnérabilités et a publié les pilotes corrigés sur son site Web de développement. Aucun grand fournisseur n'a encore publié de correctif. Mais Google a déclaré que le correctif fourni par Arm est actuellement testé pour les appareils Android et Pixel, et qu'il devrait être publié dans les semaines à venir. Les autres fabricants de combinés Android doivent appliquer le correctif afin de répondre aux futures exigences en matière de niveau de correctif de sécurité (SPL).
Google Project Zero, un groupe d'analystes de sécurité engagés par Google LLC pour trouver des vulnérabilités, prévient que les fabricants de téléphones Android n'ont pas fourni de correctifs pour plusieurs vulnérabilités découvertes dans l'unité de traitement graphique Mali plus tôt cette année.
Google indique dans un communiqué des équipes Android et Pixel qu'un correctif pour cet exploit est actuellement en cours de test et sera disponible dans les prochaines semaines. Les partenaires Android devront également appliquer le correctif.
Les sources de cet article comprennent un article de TheHackerNews.