Millones de dispositivos Android aún no tienen parches para fallas en la GPU de Mali
Un conjunto de cinco fallas de seguridad de gravedad media en el controlador de GPU Mali de Arm ha permanecido sin parches en los dispositivos Android durante meses, a pesar de las correcciones publicadas por el fabricante de chips.
Google Project Zero, que descubrió e informó los errores, dijo que Arm solucionó las deficiencias en julio y agosto de 2022.
«Estas correcciones aún no han llegado a los dispositivos Android afectados (incluidos Pixel, Samsung, Xiaomi, Oppo y otros)», dijo el investigador de Project Zero, Ian Beer , en un informe. «Los dispositivos con una GPU Mali son actualmente vulnerables».
Las vulnerabilidades, rastreadas colectivamente bajo los identificadores CVE-2022–33917 (puntaje CVSS: 5.5) y CVE-2022–36449 (puntaje CVSS: 6.5), se refieren a un caso de procesamiento de memoria inadecuado, lo que permite que un usuario sin privilegios obtenga acceso a la memoria liberada.
La segunda falla, CVE-2022–36449, se puede armar aún más para escribir fuera de los límites del búfer y revelar detalles de las asignaciones de memoria, según un aviso emitido por Arm. La lista de controladores afectados se encuentra a continuación:
CVE-2022–33917
- Controlador de núcleo de GPU Valhall: todas las versiones de r29p0 — r38p0
CVE-2022–36449
- Midgard GPU Kernel Driver: Todas las versiones desde r4p0 — r32p0
- Controlador kernel GPU Bifrost: todas las versiones desde r0p0 — r38p0 y r39p0
- Controlador de núcleo de GPU Valhall: todas las versiones de r19p0 — r38p0 y r39p0
Los hallazgos destacan una vez más cómo las brechas de parches pueden hacer que millones de dispositivos sean vulnerables a la vez y ponerlos en riesgo de una mayor explotación por parte de los actores de amenazas.
«Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y las empresas», dijo Beer.
«Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible».
