Сегодня 08 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В драйверах графики Arm нашли опасные уязвимости — они затрагивают миллионы смартфонов и уже вовсю используются хакерами

Arm сообщила об уязвимостях, обнаруженных в драйверах графических процессоров серии Mali — они эксплуатируются злоумышленниками и затрагивают широкий ассортимент устройств, включая смартфоны Google Pixel и другие под управлением Android, а также хромбуки и другие Linux-устройства.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

«Локальный непривилегированный пользователь может выполнить запрещённую операцию, связанную с обработкой памяти графическим процессором, чтобы получить доступ к уже освобождённой памяти. Проблема исправлена для Bifrost, Valhall и в драйвере ядра для архитектуры графического процессора Arm 5 поколения. Есть свидетельства, что уязвимость может ограниченно целенаправленно эксплуатироваться», — говорится в заявлении Arm. Уязвимость позволяет злоумышленнику получить доступ к освобождённой памяти — это распространённый механизм загрузки вредоносного кода для эксплуатации других уязвимостей или установки шпионского ПО. Стоит отметить, что в заявлении Arm говорится о драйверах, а не о прошивке графических процессоров.

Уязвимости присвоен номер CVE-2023-4211 — она затрагивает драйверы для графических подсистем семейств Midgard, Bifrost, Valhall и чипов пятого поколения. Предполагается, что уязвимости подвержены смартфоны Google Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro, Oppo Find. X5 Pro и Reno 8 Pro, а также ряд телефонов на платформах MediaTek. В сентябрьском обновлении Google закрыла уязвимость для устройств линейки Pixel, а также для хромбуков — она устранена с патчами, датированными 1 сентября 2023 года и более поздними. Arm выпустила обновления драйверов под Linux. Разработчик, кроме того, упомянул уязвимости CVE-2023-33200 и CVE-2023-34970, которые тоже открывают доступ к уже освобождённой памяти.

Для эксплуатации всех трёх уязвимостей хакеру необходим локальный доступ к устройству, либо, заставить жертву самостоятельно установить вредоносное приложение из неофициального репозитория. Пока неизвестно, на каких платформах и для каких устройств выпущены патчи, поэтому рекомендуется обращаться к производителю устройства.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
МТС взялась за разработку собственных видеоигр 20 мин.
Huawei обвинили в копировании ИИ конкурентов — компания всё отрицает 22 мин.
Google открыла Gemini доступ ко всем приложениям на Android и толком не объяснила, как от этого отказаться 24 мин.
«Яндекс» наконец перешёл в прямое управление к участникам «Консорциум.Первый» 29 мин.
«ЗН Цифра» внедрила решения импортонезависимой экосистемы «Базиса» 36 мин.
OpenAI усилила режим секретности, опасаясь утечки передовых ИИ-разработок 42 мин.
Упор на сюжет, жуткие анимации и физическое ощущение ужаса: новые подробности гротескного хоррора Ill 2 ч.
«Romero Games не закрылась»: студия соавтора Doom Джона Ромеро жива, несмотря на отмену нового шутера 3 ч.
Британские СМИ восстали против ИИ-сводок в поиске Google и требуют отключить опцию 4 ч.
Чат-бот Илона Маска Grok стал ещё более «политически некорректным» после обновления 4 ч.
Изменения климата грозят дефицитом чипов — через 10 лет мир столкнётся с нехваткой меди для полупроводников 30 мин.
Intel запустила новую волну сокращений — работы лишатся тысячи специалистов 55 мин.
Gateway расправила плечи — гигантскую солнечную батарею для лунной станции впервые развернули во всю длину 60 мин.
Администрация Трампа опять надавила на Apple за промедление в переносе производства электроники в США 2 ч.
В гонке за лидерство в сфере ИИ поможет инфраструктура, а не хайп 3 ч.
Прибыль Samsung должна упасть впервые с 2023 года, причём сразу на 56 % 4 ч.
Jsaux представила кулер с клипсой для Nintendo Switch 2 4 ч.
Meta заполучила ещё одного крупного специалиста по ИИ — теперь из Apple 7 ч.
Суд не удовлетворил очередную жалобу Apple на запрет продажи в США часов Watch с датчиком содержания кислорода в крови 8 ч.
CoreWeave всё-таки купила оператора ЦОД Core Scientific, но в девять раз дороже, чем когда-то планировала 12 ч.