Un conjunto de cinco fallas de seguridad de gravedad media en el controlador de GPU Mali de Arm ha permanecido sin parches en los dispositivos Android durante meses, a pesar de las correcciones publicadas por el fabricante de chips.
Google Project Zero, que descubrió e informó los errores, dijo que Arm solucionó las deficiencias en julio y agosto de 2022.
“Estas correcciones aún no han llegado a los dispositivos Android afectados (incluidos Pixel, Samsung, Xiaomi, Oppo y otros)”, Ian Beer, investigador de Project Zero. dijo en un informe “Los dispositivos con una GPU Mali son actualmente vulnerables”.
Las vulnerabilidades, rastreadas colectivamente bajo los identificadores CVE-2022-33917 (puntaje CVSS: 5.5) y CVE-2022-36449 (puntuación CVSS: 6.5), se refieren a un caso de procesamiento de memoria inadecuado, lo que permite que un usuario sin privilegios obtenga acceso a la memoria liberada.
La segunda falla, CVE-2022-36449, se puede armar aún más para escribir fuera de los límites del búfer y revelar detalles de las asignaciones de memoria, según un consultivo emitido por el brazo. La lista de controladores afectados se encuentra a continuación:
CVE-2022-33917
- Controlador de núcleo de GPU Valhall: Todas las versiones de r29p0 – r38p0
CVE-2022-36449
- Midgard GPU Kernel Driver: Todas las versiones desde r4p0 – r32p0
- Controlador kernel GPU Bifrost: todas las versiones desde r0p0 – r38p0 y r39p0
- Controlador de núcleo de GPU Valhall: todas las versiones de r19p0 – r38p0 y r39p0
Los hallazgos destacan una vez más cómo las brechas de parches pueden hacer que millones de dispositivos sean vulnerables a la vez y ponerlos en riesgo de una mayor explotación por parte de los actores de amenazas.
“Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y las empresas”, dijo Beer.
“Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible”.
About the Author
