La empresa Arm ha emitido un boletín de seguridad alertando sobre una vulnerabilidad de memoria en los controladores del kernel de las GPU Bifrost y Valhall, la cual está siendo explotada activamente. La vulnerabilidad, identificada como CVE-2024-4610, es de tipo use-after-free (UAF) y afecta a todas las versiones de los controladores Bifrost y Valhall desde r34p0 hasta r40p0.
Las fallas UAF se producen cuando un programa sigue utilizando un puntero a una ubicación de memoria después de que esta ha sido liberada, lo que puede derivar en la divulgación de información y la ejecución arbitraria de código.
«Un usuario local sin privilegios puede realizar operaciones incorrectas de procesamiento de memoria de la GPU para acceder a memoria ya liberada», explica Arm en su comunicado.
Arm ha informado que está al tanto de la explotación activa de esta vulnerabilidad y recomienda a los usuarios afectados que actualicen sus sistemas lo antes posible. La compañía solucionó esta falla en la versión r41p0 del controlador del kernel de GPU Bifrost y Valhall, lanzada el 24 de noviembre de 2022. La versión más reciente de estos controladores es la r49p0.
Impacto y Medidas a Tomar
Debido a la complejidad de la cadena de suministro en dispositivos Android, muchos usuarios finales pueden experimentar retrasos significativos en recibir los controladores actualizados. Una vez que Arm lanza una actualización de seguridad, los fabricantes de dispositivos deben integrarla en su firmware, y en muchos casos, los operadores de telecomunicaciones también deben aprobarla. Dependiendo del modelo del dispositivo, algunos fabricantes pueden optar por centrarse en modelos más nuevos y descontinuar el soporte para los más antiguos.
Las GPU Mali basadas en Bifrost se utilizan en smartphones y tabletas (modelos G31, G51, G52, G71 y G76), computadoras de placa única, Chromebooks y varios sistemas embebidos. Las GPU Valhall están presentes en smartphones y tabletas de alta gama con chips como los Mali G57 y G77, sistemas de infoentretenimiento automotriz y televisores inteligentes de alto rendimiento.
Es crucial que los usuarios y fabricantes tomen medidas inmediatas para protegerse contra esta vulnerabilidad activa, especialmente considerando que algunos dispositivos afectados pueden ya no recibir actualizaciones de seguridad. La actualización a la versión r41p0 o posterior de los controladores del kernel de GPU es esencial para mitigar los riesgos asociados a esta vulnerabilidad.
