Armは、BifrostおよびValhall GPUカーネルドライバにメモリ関連の脆弱性が存在し、それが悪用されていることを警告するセキュリティ情報を発表した。
このセキュリティ問題はCVE-2024-4610として追跡されており、use-after-free脆弱性(UAF)であり、r34p0からr40p0までのすべてのバージョンのBifrostおよびValhallドライバに影響を与える。
UAFの欠陥は、メモリ位置へのポインタが解放された後もプログラムが使用し続ける場合に発生します。これらのバグは、情報漏洩や任意のコード実行につながる可能性があります。
「ローカルの非特権ユーザーが不適切なGPUメモリ処理操作を行うことで、すでに解放されたメモリにアクセスできるようになる」とArm社は説明している。
同社はまた、「この脆弱性が悪用されているという報告を承知している。この問題の影響を受ける場合は、アップグレードすることを推奨する” という。
チップメーカーは、2022年11月24日にリリースされたBifrost and Valhall GPU Kernel Driverのバージョンr41p0で脆弱性を修正した。現在、ドライバの最新バージョンはr49p0である。
Arm社は、2022年に修正された脆弱性の最近の識別子を明らかにするため、同社に問い合わせた。
同社は次のように説明した:
「Armは2022年に、BifrostおよびValhall Mali GPUカーネルドライバのr41p0リリースの脆弱性を修正しました。外部の研究者が最近、この弱点を脆弱性として再分類する新たな情報を提供しました。Armがこの問題を脆弱性として評価した後、CVEが公開されました。
Androidのサプライチェーンは複雑であるため、多くのエンドユーザはパッチが適用されたドライバを入手するのが大幅に遅れる可能性があります。
Armがセキュリティアップデートをリリースすると、デバイスメーカーはそれをファームウェアに統合する必要があり、多くの場合、キャリアもそれを承認する必要がある。携帯電話のモデルによっては、新しいデバイスに注力し、古いデバイスのサポートを打ち切ることを選択するメーカーもあるかもしれない。
BifrostベースのMali GPUは、スマートフォン/タブレット(G31、G51、G52、G71、G76)、シングルボードコンピュータ、Chromebook、および各種組み込みシステムに使用されています。
ヴァルホールGPUは、Mali G57やG77などのチップを搭載したハイエンドのスマートフォン/テーブル、車載インフォテインメント・システム、高性能スマートTVに搭載されている。
影響を受けるデバイスの中には、セキュリティ・アップデートのサポートが終了しているものもあるため、注意が必要です。
更新 [6月 14日]: 記事は、2022年に修正された脆弱性の最近の識別子を明確にするArmからのコメントとともに更新された。
Comments