Los proveedores de Android no proporcionan parches para las vulnerabilidades de GPU de Mali
Proyecto cero de GoogleUn grupo de analistas de seguridad contratados por Google LLC para encontrar vulnerabilidades advierte que los fabricantes de teléfonos Android no han proporcionado soluciones para varias vulnerabilidades descubiertas a principios de este año en la unidad de procesamiento de gráficos de Malí.
Las cinco fallas de seguridad de gravedad media se encontraron en el controlador de GPU Mali de Arm Ltd. en junio y julio. Las cinco vulnerabilidades incluyen una que conduce a la corrupción de la memoria del kernel, otra que podría conducir a la divulgación de la dirección física y tres que podrían conducir a una condición de uso después del vaciado de la página física. Las cinco vulnerabilidades permiten que un atacante continúe leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema.
Como lo explicó Ian Beer de Project Zero el 2 de noviembre. entrada en el blogLas vulnerabilidades de Malí «colisionaron» con vulnerabilidades disponibles en mercados de día cero, páginas web oscuras que venden exploits a piratas informáticos y grupos de ataque.
Para su crédito, Arm reparó las cinco vulnerabilidades entre julio y agosto, las reveló como problemas de seguridad en su página de vulnerabilidad y publicado los drivers corregidos en el sitio web del desarrollador🇧🇷
Avance rápido hasta finales de noviembre y, sorprendentemente, ningún proveedor importante había enviado parches. Los fabricantes de teléfonos inteligentes específicamente nombrados incluyen Samsung Electronics Co. Ltd., Xiaomi Inc., Guangdong Oppo Mobile Telecommunications Corp. Limitado. y píxel.
Pixel es la línea de teléfonos inteligentes de Google, lo que significa que una parte de Google dice que otra parte de Google no ha entregado importantes actualizaciones de seguridad a sus usuarios. Un investigador de Project Zero también encontró la primera de cinco vulnerabilidades en un Pixel 6, por lo que Google encontró una vulnerabilidad en uno de sus propios teléfonos, y meses después, incluso con un parche disponible públicamente, todavía no ha solucionado el problema.
Beer argumenta que los proveedores, incluido el propio Google, tienen la responsabilidad de proporcionar actualizaciones de seguridad a los usuarios. “Así como se insta a los usuarios a aplicar parches lo antes posible cuando esté disponible una versión que contenga actualizaciones de seguridad, lo mismo es cierto para los proveedores y las empresas”, dijo Beer. «Minimizar la ‘brecha de parches’ como proveedor en estos escenarios es posiblemente más importante ya que los usuarios finales (u otros proveedores intermedios) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad del parche».
Imagen: Google
Muestre su apoyo a nuestra misión uniéndose al Cube Club y a la comunidad de expertos de Cube Event. Únase a una comunidad que incluye al director ejecutivo de Amazon Web Services y Amazon.com, Andy Jassy, el fundador y director ejecutivo de Dell Technologies, Michael Dell, el director ejecutivo de Intel, Pat Gelsinger, y muchas otras luminarias y expertos.
