Arm Mali GPU 出現提權漏洞,CISA 要求 Android 用戶盡快升級。美國網絡安全與基礎設施安全局(CISA)在今天推出一項公告,為了修復存在 Arm 架構 Mali GPU 核心的權限提升漏洞,美國聯邦機構Android 用戶被要求在 3周內完成修復檔安裝。
追踪編號為 CVE-2021-29256 的漏洞是一個 use-after-free 漏洞。攻擊者可以使用該漏洞,通過允許對 GPU RAM 進行非法操作,把非法入侵者權限上升為 root 權限,攻擊者可能利用該漏洞來獲取目標 Android 裝置上的敏感數據。
Arm 隨後發佈公告,以下為對應公告的翻譯:
「非特權用戶可以對 GPU RAM 進行不正確的操作,以訪問已經釋放的 RAM,並可能獲得 root 權限,並竊取數據。
此問題已在 Bifrost 和 Valhall GPU 內核驅動程式 r30p0 中、並在 Midgard 內核驅動程式 r31p0 版本中修復。」
Google 在 7月發布的 Android 安全更新中已對該漏洞進行修復。
