Arm은 Bifrost 및 Valhall GPU 커널 드라이버의 메모리 관련 취약점이 실제로 악용되고 있다는 내용을 경고하는 보안 공지를 발표했습니다.
보안 문제는 CVE-2024-4610으로 지정되었으며, r34p0에서 r40p0까지 모든 버전의 Bifrost와 Valhall 드라이버에 영향을 미치는 사용 후 해제 취약성(UAF)입니다.
UAF 결함은 프로그램이 메모리 위치에 대한 포인터를 해제한 후에도 계속 사용할 때 발생합니다. 이러한 버그는 정보 공개 및 임의 코드 실행으로 이어질 수 있습니다.
Arm은 “권한이 없는 로컬 사용자는 부적절한 GPU 메모리 처리 작업을 수행하여 이미 해제된 메모리에 액세스할 수 있습니다.”라고 설명했습니다.
이 회사는 또한 “야생에서 이 취약점이 악용되고 있다는 보고를 알고 있습니다. 이 문제로 영향을 받는 사용자는 업그레이드하는 것이 좋습니다.”라고 말했습니다.
칩 제조업체는 2022년 11월 24일에 출시된 Bifrost 및 Valhall GPU 커널 드라이버의 버전 r41p0에서 취약점을 수정했습니다. 현재 드라이버의 최신 버전은 r49p0입니다.
BleepingComputer는 2022년에 수정된 취약점에 대한 최신 식별자를 명확히 하기 위해 Arm에 연락했습니다.
회사 측은 다음과 같이 설명했습니다.
“2022년에 Arm은 Bifrost 및 Valhall Mali GPU 커널 드라이버의 r41p0 릴리스에서 취약점을 수정했습니다. 외부 연구원이 최근 이 취약점을 취약점으로 재분류하는 새로운 정보를 제공했습니다. Arm이 이 문제를 취약점으로 평가한 후 CVE가 게시되었습니다.”
안드로이드의 공급망이 복잡하기 때문에, 많은 최종 사용자는 패치된 드라이버를 상당히 늦게 받을 수 있습니다.
Arm이 보안 업데이트를 출시하면 기기 제조업체는 이를 펌웨어에 통합해야 하며 많은 경우 통신사도 이를 승인해야 합니다. 휴대전화 모델에 따라 일부 제조업체는 최신 기기에 집중하고 이전 기기에 대한 지원을 중단하기로 선택할 수 있습니다.
Bifrost 기반 Mali GPU는 스마트폰/태블릿(G31, G51, G52, G71 및 G76), 단일 보드 컴퓨터, Chromebook 및 다양한 임베디드 시스템에 사용됩니다.
Valhall GPU는 Mali G57 및 G77과 같은 칩이 장착된 고급 스마트폰/태블릿, 자동차 인포테인먼트 시스템, 고성능 스마트 TV에 탑재됩니다.
영향을 받는 일부 장치는 더 이상 보안 업데이트가 지원되지 않을 수 있다는 점에 유의하는 것이 중요합니다.
업데이트 (6월 14): 2022년에 수정된 취약점에 대한 최신 식별자를 명확히 설명하는 Arm의 코멘트로 기사가 업데이트되었습니다.
