Alcuni modelli di GPU dell’azienda ARM presentano delle falle che non sono ancora state risolte. Fate attenzione! Se avete questi modelli nei vostri dispositivi -soprattutto smartphone e tablet – potreste essere bersagli facili.
ARM è un’azienda britannica, con sede a Cambridge, specializzata nello sviluppo e nella progettazione di architetture di microprocessori e tecnologie correlate. È stata ondata nel 1990, ed è diventata uno dei leader globali nel settore dei semiconduttori.
L’attività principale di ARM consiste nello sviluppare il design di architetture di microprocessori, chiamati cores, e di concedere la licenza a terze parti per utilizzarne la proprietà intellettuale; le terze parti solitamente sono società di semiconduttori e altre organizzazioni che producono dispositivi integrati come chip per smartphone, tablet, computer, veicoli, elettrodomestici smart e molto altro.
Nel 2020, ARM è stata anche oggetto di un accordo di acquisizione da parte di NVIDIA, ma l’acquisizione è rimasta in bilico per un paio d’anni per poi essere annullata dalle autorità regolatorie (come sta avvenendo con l’acquisizione Microsoft-Activision Blizzard).
Ora pare che siano sorti problemi con alcuni modelli di GPU progettati da ARM che soffrirebbero di vulnerabilità su cui l’azienda non ha ancora messo una pezza.
Lunedì ARM ha comunicato la presenza di attacchi attivi in corso che mirano a una vulnerabilità nei driver dei dispositivi per la sua linea di GPU Mali, che funzionano su una serie di dispositivi, tra cui i Google Pixel e altri telefoni Android, i Chromebook e l’hardware con Linux.
“Un utente senza i legittimi permessi può effettuare operazioni improprie di elaborazione della memoria della GPU per ottenere l’accesso alla memoria non più in uso“, hanno scritto in un comunicato i portavoce di ARM. “Questo problema è stato risolto in Bifrost, Valhall e nella quinta generazione di GPU con Architettura Kernel Driver r43p0. Ci sono prove che questa vulnerabilità possa essere sfruttata in modo mirato. Si raccomanda agli utenti di aggiornare se sono affetti da questo problema”.
Ma esattamente cosa significa che un utente può, in maniera illegittima, ottenere l’accesso della memoria non più in uso? In pratica, l’accesso alla memoria di sistema non più in uso è un meccanismo comune per caricare codice dannoso in una posizione che l’hacker può poi eseguire. Questo codice spesso consente di sfruttare altre vulnerabilità o di installare payload dannosi per spiare, ad esempio, l’utente proprietario dello smartphone.
La piattaforma più colpita dalla vulnerabilità è la linea Pixel di Google, uno degli unici modelli Android a ricevere tempestivamente gli aggiornamenti di sicurezza. Nell’aggiornamento di settembre, Google ha applicato una patch ai Pixel contro la vulnerabilità, classificata come CVE-2023-4211. l’azienda ha anche applicato una patch ai Chromebook che utilizzano le GPU vulnerabili.
La falla denominata CVE-2023-4211 è presente in una serie di GPU progettate da ARM e rilasciate negli ultimi dieci anni. I chip ARM interessati sono:
Attualmente non si sa molto della vulnerabilità, se non che ARM ha attribuito la scoperta degli exploit attivi a Maddie Stone, una ricercatrice del team Project Zero di Google. Project Zero tiene traccia delle vulnerabilità dei dispositivi più diffusi, in particolare quando sono oggetto di attacchi zero-day o n-day, che si riferiscono a vulnerabilità per le quali non sono disponibili patch o che sono state patchate molto di recente.
This post was published on 4 Ottobre 2023 13:30
Non finiscono mai i cambiamenti per il digitale terrestre con un nuovo canale che molto…
Per diversi profili che sono clienti di Postemobile arriva una brutta sorpresa: ecco che cosa…
Cercate tre prodotti di lusso per una pulizia casalinga profonda? Approfittate delle offerte Black Friday…
Amadeus, passato dalla Rai al blocco di canali Discovery Warner Bros, stavolta non ha centrato…
Per la prima volta nella storia di Fortnite, Epic Games ho in programma un aumento…
Il sistema di geolocalizzazione migliorerà sempre di più e questo sarà possibile grazie a Pokémon…