Arm修補正遭到攻擊的Mali GPU驅動程式漏洞

Arm本周一發布安全公告，以修補影響Android手機使用的GPU驅動程式漏洞，並警告該漏洞正遭到濫用，Google預計將相關修補包含在10月Android安全更新釋出給用戶。

編號CVE-2023-4211為存在於Arm Mali GPU系列的核心驅動程式，它能讓本地未具權限的使用者透過惡意輸入，引發不當GPU記憶體運算，而得以存取已經釋放的記憶體。本項漏洞影響Arm旗下數款Mali GPU的（r42p0及之前）所有版本驅動程式，包括Midgard、Bifrost、Valhall及Arm第5代GPU架構。Arm已經針對這些產品釋出最新r43p0版本驅動程式。

本項漏洞是由Google威脅分析小組（Threat Analysis Group）研究員Maddie Stone、Project Zero研究員Jann Horn發現。根據Google釋出的Android安全公告，CVE-2023-4211屬於高風險漏洞。而Arm也警告目前有證據駭客已對少部分採用Midgard GPU的手機用戶，濫用本項漏洞發動攻擊。

CVE-2023-4211為Arm安全公告修補的Mali GPU三項漏洞之一。另二項漏洞中，CVE-2023-33200允許本地無權限用戶利用不當GPU運作濫用軟體競爭條件，可讓攻擊者存取已釋放的記憶體，CVE-2023-34970則允許無權限用戶執行不當GPU運作，濫用軟體競爭條件或是造成緩衝區溢位，以存取已釋放記憶體。兩者也都屬於高風險漏洞。

Google針對這三項漏洞的修補，包含在預定於10月6日發布的Android 10月安全更新，準備部署給用戶。