Arm の Mali GPU ドライバーに存在する 5 つの悪用可能な一連の脆弱性は、チップ メーカーがパッチを適用してから数か月が経過しても修正されず、数百万の Android デバイスが攻撃にさらされる可能性があります。
現在、Google、Samsung、Xiaomi、Oppo、およびその他の電話メーカーのデバイスが影響を受けており、修正プログラムがユーザーに届くのを待っています。
Google の Project Zeroチームが公開したレポートでは、Android のサプライ チェーンを悩ませている「パッチ ギャップ」が強調されています。これは、ファームウェアのセキュリティ アップデートが影響を受けるデバイスにダウンストリームで徐々に適用されるまでに通常数か月かかるためです。
相手先商標製造会社 (OEM) パートナーは、修正プログラムをテストしてデバイスに実装する時間が必要です。これは、エンド ユーザー デバイスに到達するまでの時間を延長するプロセスです。
欠陥と影響
Project Zero は 2022 年 6 月に脆弱性を発見しました。それらはCVE-2022-33917およびCVE-2022-36449 (複数のセキュリティ問題の総称) として追跡されています。
CVE-2022-33917 により、権限のないユーザーが不適切な GPU 処理操作を行い、空きメモリ セクションにアクセスすることが可能になります。この脆弱性は、Arm Mali GPU カーネル ドライバー Valhall r29p0 から r38p0 に影響を与えます。
2 番目の識別子である CVE-2022-36449 は、権限のないユーザーが解放されたメモリにアクセスし、バッファ境界外に書き込み、メモリ マッピングの詳細を公開できる問題を含んでいます。
Arm Mali GPU カーネル ドライバー Midgard r4p0 ~ r32p0、Bifrost r0p0 ~ r38p0、r39p0 ~ r38p1、Valhall r19p0 ~ r38p0、r39p0 ~ r38p1 に影響します。
Project Zero は、これらの問題を2325 、 2327 、 2331 、 2333 、および2334として追跡し、それぞれの技術的な詳細とデモ コードを公開しています。
問題の重大度スコアは中程度ですが、悪用可能であり、多数の Android デバイスに影響を与えます。
Valhall ドライバーは、Google Pixel 7、Asus ROG Phone 6、Redmi Note 11 および 12、Honor 70 Pro、RealMe GT、Xiaomi 12 Pro、Oppo Find X5 Pro、および Reno 8 Pro に搭載されている Mali G710、G610、および G510 チップで使用されています。 、Motorola Edge、および OnePlus 10R。
Bifrost ドライバーは、Samsung Galaxy S10、S9、A51 および A71、Redmi Note 10、Huawei P30 および P40 Pro、Honor View 20、Motorola Moto G60S、および Realme で使用される古い (2018) Mali G76、G72、および G52 チップで使用されます。 7。
Midgard ドライバーは、さらに古い (2016 年) Mali T800 および T700 シリーズのチップで使用されており、特に Samsung Galaxy S7 および Note 7、Sony Xperia X XA1、Huawei Mate 8、Nokia 3.1、LG X、および Redmi Note 4 で使用されています。
ベンダーが適切なパッチを提供し、潜在的な脅威に注意を払うのを待つ以外に、これらの欠陥を軽減するためにユーザーができることはありません。
Midgard ドライバーを使用する古いモデルは、修正パッチを受け取る可能性が非常に低いため、これらは完全に交換する必要があります。
Mali GPU ドライバーは、MediaTek、HiSilicon Kirin、Exyno などのベンダーのシステム オン チップ回路で使用され、市場に出回っているほとんどの Android デバイスに搭載されています。
現時点では、Arm からの修正は OEM パートナーには届いておらず、Android および Pixel デバイスでテスト中です。数週間以内に、Android は修正プログラムの実装を担当するパートナーにパッチを配信します。
Comments