Уязвимость в безопасности процессоров Arm Cortex-X925, Neoverse V3 и старых моделей позволяет злоумышленнику повысить привилегии и получить доступ к защищенным данным системы. Компания знала об ошибке в течение двенадцати месяцев, но отложила ее раскрытие, чтобы не прерывать производство чипов. Патч уже готов, но миллионы устройств в обращении никогда его не получат.
Ошибка затрагивает кэш-память и позволяет обойти ядро 🛡️
Уязвимость, обозначенная как CVE-2024-XXXX, использует слабость в системе управления памятью блоков предсказания переходов. Локальный злоумышленник с ограниченным доступом может выполнить вредоносный код, который повреждает кэш L2 и получает доступ к ограниченным областям памяти ядра. Arm рекомендует обновить прошивку, но производители мобильных телефонов среднего и низкого уровня редко распространяют исправления безопасности более чем через два года. Чипы Neoverse, используемые в серверах, получат исправление.
Твой новый телефон уже устарел при рождении, но не волнуйся 😅
Хорошая новость в том, что ты можешь продолжать смотреть мемы и пользоваться TikTok, не опасаясь кражи данных. Плохая новость в том, что если какой-нибудь киберпреступник узнает, что твой новенький терминал работает на чипе Cortex без патча, он сможет прочитать твои пароли, пока ты пьешь кофе. Но, эй, Arm уже продала дизайны, производители уже получили деньги, а ты уже заплатил. Главное, что производство не остановилось. А безопасность — это уже как получится.