Arm發(fā)漏洞公告：2022年已修復(fù)，影響Mali G57/G77等芯片

Arm 公司昨日發(fā)布安全公告，提醒 Bifrost 和 Valhall GPU 內(nèi)核驅(qū)動(dòng)程序存在漏洞，且有相關(guān)證據(jù)表明已經(jīng)有黑客利用該漏洞發(fā)起攻擊。

該漏洞追蹤編號(hào)為 CVE-2024-4610，是一個(gè) use-after-free（UAF）漏洞，影響從 r34p0 到 r40p0 的所有 Bifrost 和 Valhall 驅(qū)動(dòng)程序版本。

簡(jiǎn)要解釋下 UAF 漏洞，應(yīng)用程序在釋放內(nèi)存位置指針之后，黑客可以繼續(xù)使用該指針，通常會(huì)導(dǎo)致信息泄露和執(zhí)行任意代碼。

Arm 在公告中表示：“本地非特權(quán)用戶可以進(jìn)行不正當(dāng)?shù)?GPU 內(nèi)存處理操作，以獲得對(duì)已釋放內(nèi)存的訪問(wèn)權(quán)限”。

Arm 已經(jīng)于 2022 年 11 月 24 日發(fā)布 Bifrost 和 Valhall GPU 內(nèi)核驅(qū)動(dòng)程序 r41p0 版本，修復(fù)了這個(gè)漏洞，目前，驅(qū)動(dòng)程序的最新版本是 r49p0。

至于 Arm 為何近期才發(fā)布該安全公告，可能是近期有攻擊者利用該漏洞對(duì)此前版本發(fā)起攻擊，但公司在 2022 年無(wú)意中已經(jīng)修復(fù)了該漏洞。

基于 Bifrost 的 Mali GPU 被用于智能手機(jī) / 平板電腦（G31、G51、G52、G71 和 G76）、單板計(jì)算機(jī)、Chromebook 和各種嵌入式系統(tǒng)。

采用 Mali G57 和 G77 等芯片的高端智能手機(jī) / 平板電腦、汽車(chē)信息娛樂(lè)系統(tǒng)和高性能智能電視中都有 Valhall GPU 的身影。

需要注意的是，部分受影響的設(shè)備可能不再支持安全更新。