Търсене
Close this search box.

Милиони устройства с Android не са актуализирани за грешките в Mali

Цели пет средни по сериозност грешки в сигурността в драйвера на графичния процесор Mali на Arm продължава да не е отстранен в устройствата с Android в продължение на месеци, въпреки че производителят на чипове публикува поправките.

Google Project Zero, който откри и докладва за бъговете, заяви, че Arm е отстранил недостатъците през юли и август 2022г.

„Тези поправки все още не са стигнали надолу по веригата до засегнатите устройства с Android (включително Pixel, Samsung, Xiaomi, Oppo и други)“, заяви в доклад изследователят от Project Zero Иън Беър. „Устройствата с графичен процесор Mali в момента са уязвими.“

Уязвимостите, проследявани колективно под идентификатори CVE-2022-33917 (CVSS оценка: 5,5) и CVE-2022-36449 (CVSS оценка: 6,5), се отнасят до случай на неправилна обработка на паметта, като по този начин позволяват на непривилегирован потребител да получи достъп до освободената памет.

Вторият недостатък, CVE-2022-36449, може да бъде допълнително използван за писане извън границите на буфера и разкриване на подробности за съпоставянето на паметта, според издадена от Arm консултация. Списъкът на засегнатите драйвери е представен по-долу –

CVE-2022-33917

  • Драйвер на ядрото на графичния процесор Valhall: Всички версии от r29p0 – r38p0

Успешното използване на недостатъците може да позволи на нападател с права за изпълнение на нативен код в контекста на приложение да поеме контрола над системата и да заобиколи модела за разрешения на Android, за да получи широк достъп до потребителски данни.

CVE-2022-36449

  • Драйвер на ядрото на графичния процесор Midgard: Всички версии от r4p0 – r32p0
  • Драйвер на ядрото на графичния процесор Bifrost: Всички версии от r0p0 – r38p0 и r39p0
  • Драйвер за ядрото на графичния процесор Valhall: Всички версии от r19p0 – r38p0 и r39p0

Констатациите още веднъж подчертават как пропуските в актуализациите могат да направят милиони устройства уязвими едновременно и да ги изложат на риск от засилена експлоатация от страна на хакери.

„Точно както на потребителите се препоръчва да закърпват колкото се може по-бързо, след като е налично издание, съдържащо актуализации за сигурност, същото се отнася и за доставчиците и компаниите“, казва Беер.

„Компаниите трябва да останат бдителни, да следят отблизо източниците нагоре по веригата и да направят всичко възможно да предоставят пълни пачове на потребителите възможно най-скоро.“

 

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
25/05/2024

Как да улесните работата с ...

Смартфонът като ваш цифров спътник трябва...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!