Últimamente están apareciendo más y más fallos de seguridad, pero normalmente las compañías los solucionan. Pero de vez en cuando hay algunos que se escapan a esa posibilidad, y es lo que ha ocurrido con una vulnerabilidad que afecta a las GPU diseñadas por la propia Arm para los procesadores que se usan en dispositivos móviles de todo tipo, principalmente los de Android y los Chromebook. Ha sido descubierta por el Proyecto Cero de Google.
El problema de este nuevo fallo es que a través de una serie de solicitudes manipuladas a la GPU se puede acceder a la memoria liberada del sistema, lo cual lleva a que se pueda cargar un programa malicioso en ella y a su ejecución. Potencialmente puede dar acceso total al dispositivo. Esta vulnerabilidad se ha detectado que está siendo activamente explotada, aunque por ahora de manera limitada. No se han dado a conocer los detalles de la vulnerabilidad.
Esta vulnerabilidad afecta a las GPU de Arm denominadas Midgard, Bifrost, Valhall y posteriores, y está presente en los controladores r42p0 y anteriores. Arm ha publicado un listado de las vulnerabilidades que explotan este fallo de acceso a memoria o similares desde la GPU, que son tres en total. Quedan solucionadas en los controladores r43p0, r44p1 o r45p0 dependiendo del fallo concreto y del dispositivo.
El problema ahora es el de siempre: los fabricantes de los móviles no se toman en serio la actualización de sus dispositivos. Esta vulnerabilidad ha sido parcheada en septiembre por Google, y otros fabricanes como Samsung, ASUS, Xiaomi o Motorola ya la están parcheando, pero no en todos sus dispositivos, solo los más caros y del último par de años. Si sigues usando un móvil con GPU de Arm de hace más de dos o tres años te vas a quedar sí o sí sin el parche, y si es más reciente también si es de gama media-baja o baja.
Vía: Ars Technica.