MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
El equipo Project Zero de Google ha revelado varias vulnerabilidades de seguridad de día cero que afectan a millones de teléfonos inteligentes Android vendidos en todo el mundo. Los dispositivos con GPU Mali de ARM, como los que funcionan con los procesadores Exynos de Samsung, son vulnerables a estas fallas de seguridad. ARM ya solucionó las fallas, pero los fabricantes de dispositivos aún tienen que implementar la solución.
Project Zero de Google revela cinco vulnerabilidades de día cero
El investigador de Project Zero, Jann Horn, descubrió cinco vulnerabilidades explotables en el controlador de GPU ARM Mali entre junio y julio de este año. Una de las fallas de seguridad puede conducir a la corrupción de la memoria del kernel, mientras que otra puede revelar direcciones de memoria física al espacio del usuario. Los tres restantes dan lugar a una condición de uso posterior al uso de la página física.
Estas fallas “permitirían que un atacante continúe leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema”, explica Ian Beer de Project Zero. “Un atacante con ejecución de código nativo en el contexto de una aplicación podría obtener acceso completo al sistema, eludiendo el modelo de permisos de Android y permitiendo un amplio acceso a los datos del usuario”.
El equipo de seguridad de Google informó de inmediato estas fallas a ARM. La compañía de semiconductores también solucionó rápidamente los problemas. La empresa asignó CVE-2022-36449 a los defectos y publicó la fuente del parche en su sitio web para desarrolladores. Para dar tiempo a los OEM para implementar el parche en los dispositivos afectados, Google no ha revelado públicamente las vulnerabilidades. Después de 30 días de espera, publicó las vulnerabilidades en el rastreador público de Project Zero entre finales de agosto y mediados de septiembre.
Desafortunadamente, incluso casi cuatro meses después de que ARM lanzara el parche, ningún fabricante de Android lo ha implementado en sus dispositivos afectados. Project Zero informa que CVE-2022-36449 no se encuentra en ningún boletín de seguridad posterior a partir del martes 22 de noviembre. Los investigadores instan a las empresas a mantenerse alerta y seguir de cerca las fuentes ascendentes para parchear a los usuarios lo antes posible. “Minimizar la brecha de parches como proveedor en estos escenarios es probablemente más importante”, dice Beer. escribe.
Google todavía está probando el parche de ARM
Google dice que está probando el parche de ARM y planea implementarlo pronto, posiblemente con la actualización de seguridad de Android de diciembre. Será obligatorio para todos los socios OEM. “La solución proporcionada por ARM se encuentra actualmente en pruebas para dispositivos Android y Pixel y se entregará en las próximas semanas”, dijo un portavoz de Google. Engadget. “Los socios OEM de Android deberán adoptar el parche para cumplir con los futuros requisitos de SPL”. Estaremos atentos y te avisaremos cuando tengamos más información.
