CVE-2026-40290

Nome do Software Vulnerável e Versões Afetadas OP-TEE versões 3.16.0 até 4.10.x

Descrição Uma condição de corrida de use-after-free existe na lógica de encerramento de memória compartilhada do FF-A dentro dos fluxos SPMC/SP. Isso ocorre quando o OP-TEE é configurado como um SPMC para S-EL0 SPs usando CFG SECURE PARTITION=y. A função sp mem remove() libera entradas em smem->receivers e smem->regions sem adquirir o sp mem lock global. Simultaneamente, outros caminhos de código, como sp mem get receiver(), iteram sobre essas listas sem um lock, ou sp mem is shared() itera enquanto detém o lock, mas não é serializado contra a operação de liberação desprotegida. Isso permite que uma thread adquira um ponteiro para uma entrada, como struct sp mem map region ou struct sp mem receiver, que é então liberada por outra thread chamando sp mem remove(), resultando em um use-after-free quando a primeira thread desreferencia o ponteiro.

Recomendações Atualizar para a versão 4.11.0.