Une vulnérabilité de sécurité dans les processeurs Arm Cortex-X925, Neoverse V3 et les modèles anciens permet à un attaquant d'élever ses privilèges et d'accéder à des données protégées du système. L'entreprise connaissait la faille depuis douze mois, mais a retardé sa divulgation pour ne pas interrompre la production de puces. Le correctif est déjà prêt, mais des millions d'appareils en circulation ne le recevront jamais.
La faille affecte le cache mémoire et permet de contourner le noyau 🛡️
La vulnérabilité, identifiée sous le nom CVE-2024-XXXX, exploite une faiblesse dans le système de gestion de la mémoire des unités de prédiction de branchement. Un attaquant local avec un accès limité peut exécuter un code malveillant qui corrompt le cache L2 et accède à des régions de mémoire restreintes du noyau. Arm recommande de mettre à jour le firmware, mais les fabricants de téléphones mobiles de gamme moyenne et basse distribuent rarement des correctifs de sécurité au-delà de deux ans. Les puces Neoverse, utilisées dans les serveurs, recevront bien la correction.
Ton nouveau mobile est déjà né obsolète, mais ne t'inquiète pas 😅
La bonne nouvelle, c'est que tu peux continuer à regarder des memes et utiliser TikTok sans que personne ne vole tes données. La mauvaise, c'est que si un cybercriminel apprend que ton terminal flambant neuf embarque une puce Cortex sans correctif, il pourra lire tes mots de passe pendant que tu prends un café. Mais bon, Arm a déjà vendu les designs, les fabricants ont déjà encaissé et tu as déjà payé. L'important, c'est que la production ne s'est pas arrêtée. La sécurité, on verra ça plus tard.