Arm本周一發布安全公告,以修補影響Android手機使用的GPU驅動程式漏洞,並警告該漏洞正遭到濫用,Google預計將相關修補包含在10月Android安全更新釋出給用戶。

編號CVE-2023-4211為存在於Arm Mali GPU系列的核心驅動程式,它能讓本地未具權限的使用者透過惡意輸入,引發不當GPU記憶體運算,而得以存取已經釋放的記憶體。本項漏洞影響Arm旗下數款Mali GPU的(r42p0及之前)所有版本驅動程式,包括Midgard、Bifrost、Valhall及Arm第5代GPU架構。Arm已經針對這些產品釋出最新r43p0版本驅動程式。

本項漏洞是由Google威脅分析小組(Threat Analysis Group)研究員Maddie Stone、Project Zero研究員Jann Horn發現。根據Google釋出的Android安全公告,CVE-2023-4211屬於高風險漏洞。而Arm也警告目前有證據駭客已對少部分採用Midgard GPU的手機用戶,濫用本項漏洞發動攻擊。

CVE-2023-4211為Arm安全公告修補的Mali GPU三項漏洞之一。另二項漏洞中,CVE-2023-33200允許本地無權限用戶利用不當GPU運作濫用軟體競爭條件,可讓攻擊者存取已釋放的記憶體,CVE-2023-34970則允許無權限用戶執行不當GPU運作,濫用軟體競爭條件或是造成緩衝區溢位,以存取已釋放記憶體。兩者也都屬於高風險漏洞。

Google針對這三項漏洞的修補,包含在預定於10月6日發布的Android 10月安全更新,準備部署給用戶。

熱門新聞

Advertisement