Les cybercriminels s’intéressent de plus en plus aux couches basses des terminaux, comme le montre les récentes failles corrigées par ARM touchant son architecture de GPU Mali et en particulier les pilotes. Une de ces vulnérabilités est particulièrement à prendre en considération, car elle est activement exploitée. Sans disposer de score de gravité, la CVE-2023-4211 a été découverte par des chercheurs du TAG (threat analysis group) de Google et du Project Zero.

Dans un avis datant du 2 octobre, ARM explique qu’« un utilisateur local non privilégié peut effectuer des opérations inappropriées de traitement de la mémoire GPU pour accéder à la mémoire déjà libérée ». Les cybercriminels peuvent utiliser cette espace libre pour installer des malwares. Le concepteur ajoute, « Il existe des preuves que cette vulnérabilité pourrait faire l'objet d'une exploitation limitée et ciblée ». L'avis notifie également la correction de deux autres vulnérabilités dans la même famille de pilotes accordant des exploitations similaires.

Plusieurs pilotes à corriger

La gamme de GPU ARM sous l’architecture Mali fonctionne sur une multitude de terminaux, les smartphones, les TV connectées, les systèmes d’entertainment dans les voitures, l’IoT, les consoles de jeux, … La vulnérabilité affecte quatre versions différentes de pilotes, notamment le pilote Midgard GPU Kernel (à partir de la version r12p0 – r32p0), le pilote Bifrost GPU Kernel (à partir de la version r0p0 – r42p0), le pilote Valhall GPU Kernel (à partir de la version r19p0 – r42p0) et ARM 5ème Gen. Pilote de noyau d'architecture GPU (à partir de la version r41p0 – r42p0).

Des correctifs sont désormais disponibles pour trois des quatre versions concernées. « Ce problème est résolu dans Bifrost, Valhall et ARM 5ème Gen GPU Architecture Kernel Driver r43p0 (le plus récent) », a déclaré le fournisseur. « Il est recommandé aux utilisateurs de procéder à la mise à niveau s'ils sont concernés par ce problème ». Deux autres correctifs mentionnés dans l'avis comprenaient ceux pour CVE-2023-33200 et CVE-2023-34970, qui permettent tous deux des exploitations similaires dans les versions Valhall et ARM 5e génération du GPU.