Милиони устройства с Android не са актуализирани за грешките в Mali

Цели пет средни по сериозност грешки в сигурността в драйвера на графичния процесор Mali на Arm продължава да не е отстранен в устройствата с Android в продължение на месеци, въпреки че производителят на чипове публикува поправките.

Google Project Zero, който откри и докладва за бъговете, заяви, че Arm е отстранил недостатъците през юли и август 2022г.

„Тези поправки все още не са стигнали надолу по веригата до засегнатите устройства с Android (включително Pixel, Samsung, Xiaomi, Oppo и други)“, заяви в доклад изследователят от Project Zero Иън Беър. „Устройствата с графичен процесор Mali в момента са уязвими.“

Уязвимостите, проследявани колективно под идентификатори CVE-2022-33917 (CVSS оценка: 5,5) и CVE-2022-36449 (CVSS оценка: 6,5), се отнасят до случай на неправилна обработка на паметта, като по този начин позволяват на непривилегирован потребител да получи достъп до освободената памет.

Вторият недостатък, CVE-2022-36449, може да бъде допълнително използван за писане извън границите на буфера и разкриване на подробности за съпоставянето на паметта, според издадена от Arm консултация. Списъкът на засегнатите драйвери е представен по-долу –

CVE-2022-33917

  • Драйвер на ядрото на графичния процесор Valhall: Всички версии от r29p0 – r38p0

Успешното използване на недостатъците може да позволи на нападател с права за изпълнение на нативен код в контекста на приложение да поеме контрола над системата и да заобиколи модела за разрешения на Android, за да получи широк достъп до потребителски данни.

CVE-2022-36449

  • Драйвер на ядрото на графичния процесор Midgard: Всички версии от r4p0 – r32p0
  • Драйвер на ядрото на графичния процесор Bifrost: Всички версии от r0p0 – r38p0 и r39p0
  • Драйвер за ядрото на графичния процесор Valhall: Всички версии от r19p0 – r38p0 и r39p0

Констатациите още веднъж подчертават как пропуските в актуализациите могат да направят милиони устройства уязвими едновременно и да ги изложат на риск от засилена експлоатация от страна на хакери.

„Точно както на потребителите се препоръчва да закърпват колкото се може по-бързо, след като е налично издание, съдържащо актуализации за сигурност, същото се отнася и за доставчиците и компаниите“, казва Беер.

„Компаниите трябва да останат бдителни, да следят отблизо източниците нагоре по веригата и да направят всичко възможно да предоставят пълни пачове на потребителите възможно най-скоро.“

 

Източник: The Hacker News

Подобни публикации

6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
28 ноември 2022

Поредна глоба за Meta

Ирландската комисия за защита на данните (DPC) наложи глоба на Meta...
28 ноември 2022

Социалните медии трябва да престанат да копират...

Интернет не е само за тийнейджъри. Когато поколението Z навлезе в м...
28 ноември 2022

975 артестувани при глобална операция на Интерпол

В резултат на продължилата няколко месеца операция на Интерпол, под...
Бъдете социални
Още по темата
16/11/2022

Проблеми с Kerberos след н...

Microsoft разследва нов известен проблем, който...
27/10/2022

OneDrive на Microsoft се ср...

Microsoft разследва известен проблем, който причинява...
05/09/2022

Microsoft Edge 105 не старт...

Новият Microsoft Edge 105 не се...
Последно добавени
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
04/12/2022

Google с нова актуализация ...

  В петък гигантът в областта...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!