ARM, una delle aziende più importanti nel settore delle architetture per microprocessori, ha recentemente lanciato un avviso riguardante degli attacchi informatici che sfruttano attivamente una vulnerabilità nei driver delle sue GPU Mali. Questa vulnerabilità ha il potenziale di mettere a rischio dispositivi ampiamente utilizzati, tra cui gli smartphone Android di varie marche, Chromebook e dispositivi Linux.
La vulnerabilità, identificata con il codice CVE-2023-4211, consente a un utente locale non privilegiato di eseguire operazioni di elaborazione della memoria GPU improprie per ottenere accesso a porzioni di memoria già liberate. Questo potrebbe consentire a un attaccante di inserire codice dannoso nella memoria di sistema, aprendo la strada a ulteriori attacchi o all'installazione di payload dannosi.
L'avviso di ARM afferma che questa vulnerabilità potrebbe essere sfruttata in modo mirato e limitato, sottolineando l'importanza di proteggere i dispositivi interessati.
La vulnerabilità riguarda diverse versioni dei driver delle GPU ARM rilasciate nell'arco di un decennio. I dispositivi noti per utilizzare queste GPU includono il Google Pixel 7, Samsung Galaxy S20 e Galaxy S21, Motorola edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11 e 12, Honor 70, realme GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Oppo Reno8 Pro e alcuni dispositivi con chip a marchio Mediatek.
Google ha già rilasciato patch correttive per i dispositivi Pixel e Chromebook con gli aggiornamenti di sicurezza di settembre. Gli utenti di dispositivi con patch del 2023-09-01 o successive sono immuni dagli attacchi che sfruttano questa vulnerabilità. Queste patch aggiornano i driver delle GPU alla versione r44p1 o r45p0.
Per quanto riguarda altri produttori, la situazione è al momento incerta. È importante controllare con il produttore del proprio dispositivo per verificare se sono disponibili patch di sicurezza. Molti degli smartphone colpiti non sono più supportati dai produttori e rimarranno per sempre vulnerabili. Ciò sottolinea l'importanza della scelta di prodotti con un supporto software continuativo negli anni.
Immagine di copertina, copyright: juvart