Proyecto cero de Googleun grupo de analistas de seguridad que trabaja para Google LLC para encontrar vulnerabilidades, advierte que los fabricantes de teléfonos con Android no proporcionaron parches para varias vulnerabilidades descubiertas a principios de este año en una GPU de Mali.
Se han encontrado cinco vulnerabilidades de gravedad media en el controlador GPU financiero de Arm Ltd. En junio-julio. Las cinco vulnerabilidades incluyen una que corrompe la memoria del kernel, otras vulnerabilidades que pueden exponer direcciones físicas y tres que pueden comprometer el estado físico de una página para su uso posterior. Las cinco vulnerabilidades permitirían a un atacante continuar leyendo y escribiendo páginas físicas después de que se devuelvan al sistema.
Como lo explicó Ian Beer de Project Zero el 22 de noviembre entrada en el blogLas vulnerabilidades de Malí «colisionaron» con las vulnerabilidades disponibles en los mercados de suma cero, las páginas web oscuras que venden vulnerabilidades a los piratas informáticos y los grupos de ataque.
A su favor, Arm solucionó cinco vulnerabilidades entre julio y agosto, revelándolas como problemas de seguridad en su dispositivo. página de debilidades Se publican los drivers corregidos en su sitio para desarrolladores.
Sorprendentemente, desde ahora hasta finales de noviembre, ninguno de los principales proveedores ha realizado correcciones. Entre los fabricantes de teléfonos inteligentes mencionados específicamente se encuentran Samsung Electronics Co. Ltd, Xiaomi Inc. y Guangdong Oppo Mobile Telecommunications Corp. Limitado. y píxel.
Pixel es la línea de teléfonos inteligentes de Google, lo que significa que una parte de Google dice que otra parte de Google no ha proporcionado actualizaciones de seguridad importantes a sus usuarios. Un investigador de Project Zero también encontró la primera de las cinco vulnerabilidades en el Pixel 6, por lo que Google encontró una vulnerabilidad en uno de sus propios teléfonos, sin embargo, meses después, incluso con un parche disponible públicamente, todavía no se ha solucionado. el problema.
Bear argumenta que los proveedores, incluido el propio Google, tienen la responsabilidad de proporcionar actualizaciones de seguridad a los usuarios. «Así como se recomienda a los usuarios que apliquen parches lo antes posible tan pronto como esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y empresas», dijo Beer. «Podría decirse que reducir la ‘brecha del parche’ como recurso en estos escenarios es aún más importante, ya que los usuarios finales (u otros proveedores) bloquean esta acción antes de que puedan obtener los beneficios de seguridad del parche».
Imagen: Google
Muestre su apoyo a nuestra misión uniéndose a nuestra comunidad de expertos Cube Club y Cube Event. Únase a la comunidad que incluye Amazon Web Services y el CEO de Amazon.com, Andy Jassy, el fundador y CEO de Dell Technologies, Michael Dell, el CEO de Intel, Pat Gelsinger, y muchos más dignatarios y expertos.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».