Plusieurs smartphones Android de fabricants tels que Google, Samsung, Xiaomi, Oppo et d'autres sont vulnérables à un ensemble de cinq vulnérabilités exploitables dans le pilote GPU Mali d'ARM.
Ces défauts, bien qu'ils aient été corrigés par le fabricant de puces il y a des mois, ne sont toujours pas corrigés par les fabricants d'appareils Android.
Selon un rapport publié par Project Zero (GPZ) de Google, l'équipe GPZ a découvert cinq vulnérabilités exploitables liées au pilote GPU ARM Mali entre juin et juillet 2022.
Les cinq vulnérabilités ont été identifiées comme 2325, 2327, 2331, 2333 et 2334. Alors que l'un de ces problèmes (2334) entraîne une corruption de la mémoire du noyau, l'autre (2331) entraîne la divulgation d'adresses de mémoire physique à l'espace utilisateur.
En outre, les trois problèmes restants (2325, 2327, 2333) conduisent à une condition d'utilisation de page physique après libération. Ceux-ci permettraient à un attaquant de continuer à lire et à écrire des pages physiques après qu'elles aient été renvoyées au système.
Tous les problèmes ci-dessus ont été résolus “rapidement” par ARM en juillet et août 2022, qui les a divulgués comme des problèmes de sécurité sur leur page Arm Mali Driver Vulnerabilities (attribuant CVE-2022-36449). Ils ont également publié la source du pilote corrigé sur leur site Web public de développeurs.
Un autre bug ARM du GPU Mali qui a été corrigé est suivi comme CVE-2022-33917, qui permet à un utilisateur non privilégié d'effectuer des opérations de traitement GPU inappropriées pour accéder à la mémoire déjà libérée. La vulnérabilité affecte les pilotes du noyau GPU Arm Mali, Valhall r29p0 à r38p0.
Le chercheur de Project Zero, Ian Beer, qualifie les deux bogues dans son rapport de “lacune de correctifs” par les fournisseurs de smartphones Android, ce qui prend normalement plusieurs mois pour que les mises à jour de sécurité du micrologiciel parviennent en aval aux appareils Android concernés.
Conformément à la mise à jour de la politique de divulgation de GPZ en 2021, l'équipe a attendu 30 jours supplémentaires avant de délimiter ses entrées de tracker Project Zero entre fin août et mi-septembre 2022. Cependant, lors d'une récente vérification, Project Zero a constaté que chaque appareil de test qui utilisait Mali reste vulnérable à ces problèmes.
“Tout comme il est recommandé aux utilisateurs de corriger le plus rapidement possible une fois qu'une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises”, a expliqué Beer dans le rapport sur les écarts de correctifs.
« Minimiser l'« écart de correctifs » en tant que fournisseur dans ces scénarios est sans doute plus important, car les utilisateurs finaux (ou d'autres fournisseurs en aval) bloquent cette action avant de pouvoir bénéficier des avantages de sécurité du correctif.
“Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible.”
Étant donné que les correctifs ne sont pas appliqués par le fournisseur de smartphones Android à leurs versions Android, les utilisateurs de smartphones ne peuvent pas non plus appliquer le correctif publié par ARM pour le pilote GPU ARM Mali.
En conséquence, de nombreux smartphones Android sont toujours vulnérables aux cinq exploits. Heureusement, depuis cette semaine, l'équipe Pixel de Google et l'équipe Android travaillent à résoudre le problème.
« Le correctif fourni par Arm est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM Android devront prendre le correctif pour se conformer aux futures exigences SPL », a écrit le chercheur de GPZ, Tim Willis, citant quelqu'un des équipes Android et Pixel.
