Android

Un conjunto de cinco fallas de seguridad de gravedad media en el controlador de GPU Mali de Arm ha permanecido sin parches en los dispositivos Android durante meses, a pesar de las correcciones publicadas por el fabricante de chips.

Google Project Zero, que descubrió e informó los errores, dijo que Arm solucionó las deficiencias en julio y agosto de 2022.

«Estas correcciones aún no han llegado a los dispositivos Android afectados (incluidos Pixel, Samsung, Xiaomi, Oppo y otros)», dijo el investigador de Project Zero, Ian Beer , en un informe. «Los dispositivos con una GPU Mali son actualmente vulnerables».

Las vulnerabilidades, rastreadas colectivamente bajo los identificadores CVE-2022-33917 (puntaje CVSS: 5.5) y CVE-2022-36449 (puntaje CVSS: 6.5), se refieren a un caso de procesamiento de memoria inadecuado, lo que permite que un usuario sin privilegios obtenga acceso a la memoria liberada.

La segunda falla, CVE-2022-36449, se puede armar aún más para escribir fuera de los límites del búfer y revelar detalles de las asignaciones de memoria, según un aviso emitido por Arm. La lista de controladores afectados se encuentra a continuación:

CVE-2022-33917

  • Controlador de núcleo de GPU Valhall: todas las versiones de r29p0 – r38p0

CVE-2022-36449

  • Midgard GPU Kernel Driver: Todas las versiones desde r4p0 – r32p0
  • Controlador kernel GPU Bifrost: todas las versiones desde r0p0 – r38p0 y r39p0
  • Controlador de núcleo de GPU Valhall: todas las versiones de r19p0 – r38p0 y r39p0

Los hallazgos destacan una vez más cómo las brechas de parches pueden hacer que millones de dispositivos sean vulnerables a la vez y ponerlos en riesgo de una mayor explotación por parte de los actores de amenazas.

«Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y las empresas», dijo Beer.

«Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible».

Fuente y redacción: thehackernews.com

Compartir