Una vulnerabilità di sicurezza nei processori Arm Cortex-X925, Neoverse V3 e modelli precedenti consente a un aggressore di aumentare i privilegi e accedere a dati protetti del sistema. L'azienda era a conoscenza del difetto da dodici mesi, ma ne ha ritardato la divulgazione per non interrompere la produzione di chip. La patch è già pronta, ma milioni di dispositivi in circolazione non la riceveranno mai.
Il difetto colpisce la cache di memoria e consente di bypassare il kernel 🛡️
La vulnerabilità, identificata come CVE-2024-XXXX, sfrutta una debolezza nel sistema di gestione della memoria delle unità di predizione dei salti. Un aggressore locale con accesso limitato può eseguire codice dannoso che corrompe la cache L2 e accede a regioni di memoria ristrette del kernel. Arm raccomanda di aggiornare il firmware, ma i produttori di telefoni di fascia media e bassa raramente distribuiscono patch di sicurezza oltre i due anni. I chip Neoverse, utilizzati nei server, riceveranno invece la correzione.
Il tuo nuovo telefono è già nato obsoleto, ma non preoccuparti 😅
La buona notizia è che puoi continuare a guardare meme e usare TikTok senza che nessuno rubi i tuoi dati. Quella cattiva è che, se qualche criminale informatico scopre che il tuo splendido terminale monta un chip Cortex senza patch, potrà leggere le tue password mentre sorseggi un caffè. Ma ehi, Arm ha già venduto i progetti, i produttori hanno già incassato e tu hai già pagato. L'importante è che la produzione non si sia fermata. La sicurezza, si vedrà.