Según el Project Zero de Google (a través de 9to5 Google) equipo de analistas de seguridad, millones de teléfonos Android son vulnerables a una vulnerabilidad sin parche conocido como CVE-2022-33917. CVE significa vulnerabilidades y exposiciones comunes y cada número de CVE se refiere a una falla específica. El CVE antes mencionado es una vulnerabilidad que afecta a los dispositivos Android que están equipados con la GPU Mali de ARM. Eso significa que los teléfonos Google Pixel y Samsung Galaxy se ven afectados junto con los teléfonos inteligentes Android fabricados por muchos otros fabricantes. Hasta que se difunda el parche, los atacantes pueden explotar la falla. Google dice que esto permitiría a los atacantes”continuar leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema”. Además, la compañía agrega que”al obligar al kernel a reutilizar estas páginas como tablas de páginas, un atacante con ejecución de código nativo en el contexto de una aplicación podría obtener acceso completo al sistema, eludiendo el modelo de permisos de Android y permitiendo un amplio acceso a los datos del usuario”.

ARM supuestamente arregló la vulnerabilidad, pero aún no se ha parcheado en este momento

Project Zero señala que le informó a ARM sobre las vulnerabilidades y ARM”rápidamente”arregló los problemas en julio y agosto de este año. ARM asignó el número CVE-2022-33917 a la falla. Pero Google descubrió más tarde”que todos nuestros dispositivos de prueba que usaban Mali aún son vulnerables a estos problemas. CVE-2022-36449 no se menciona en ningún boletín de seguridad posterior”. En otras palabras, los dispositivos fabricados por el propio equipo Pixel de Google, Samsung, Oppo y Xiaomi nunca fueron parcheados y aún tienen esta vulnerabilidad explotable.

El equipo Project Zero de Google informó a ARM de la vulnerabilidad

Tenga en cuenta que los teléfonos en riesgo tienen una GPU Mali que elimina los dispositivos alimentados por un conjunto de chips Snapdragon. Sin embargo, los teléfonos que usan chips Google Tensor, Exynos o MediaTek deben parchearse. La buena noticia es que Google está probando un parche que se espera que sea lanzado”en las próximas semanas”. Los fabricantes de teléfonos que construyan dispositivos Android también deberán incluirlo.

La declaración de Google dice:”La solución proporcionada por Arm se está probando actualmente para dispositivos Android y Pixel y se entregará en las próximas semanas. Android Los socios OEM deberán tomar el parche para cumplir con los futuros requisitos de SPL”.

Google les dice a los proveedores que deben corregir estas fallas de inmediato

Y Google también tiene palabras de sabiduría para los proveedores de Android que intentan evitar que ocurra un incidente similar en el futuro. La compañía deja en claro que los proveedores tienen la responsabilidad de parchear sus fallas de software al igual que los usuarios de Android deben descargar las actualizaciones de seguridad tan pronto como las reciban. disponible, por lo que lo mismo se aplica a los proveedores y las empresas. Minimizar la”brecha de parches”como proveedor en estos escenarios es posiblemente más importante, ya que los usuarios finales (u otros proveedores posteriores) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad de el parche”, escribió Google.

El gigante de las búsquedas agregó que”las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible”.

Si se muestra que tiene una unidad de procesamiento de gráficos (GPU) ARM Mali, su dispositivo está en riesgo. Siga revisando, ya que actualizaremos esta historia cuando se distribuya el parche.

Categories: IT Info