Милиони устройства с Android не са актуализирани за грешките в Mali

Цели пет средни по сериозност грешки в сигурността в драйвера на графичния процесор Mali на Arm продължава да не е отстранен в устройствата с Android в продължение на месеци, въпреки че производителят на чипове публикува поправките.

Google Project Zero, който откри и докладва за бъговете, заяви, че Arm е отстранил недостатъците през юли и август 2022г.

„Тези поправки все още не са стигнали надолу по веригата до засегнатите устройства с Android (включително Pixel, Samsung, Xiaomi, Oppo и други)“, заяви в доклад изследователят от Project Zero Иън Беър. „Устройствата с графичен процесор Mali в момента са уязвими.“

Уязвимостите, проследявани колективно под идентификатори CVE-2022-33917 (CVSS оценка: 5,5) и CVE-2022-36449 (CVSS оценка: 6,5), се отнасят до случай на неправилна обработка на паметта, като по този начин позволяват на непривилегирован потребител да получи достъп до освободената памет.

Вторият недостатък, CVE-2022-36449, може да бъде допълнително използван за писане извън границите на буфера и разкриване на подробности за съпоставянето на паметта, според издадена от Arm консултация. Списъкът на засегнатите драйвери е представен по-долу –

CVE-2022-33917

  • Драйвер на ядрото на графичния процесор Valhall: Всички версии от r29p0 – r38p0

Успешното използване на недостатъците може да позволи на нападател с права за изпълнение на нативен код в контекста на приложение да поеме контрола над системата и да заобиколи модела за разрешения на Android, за да получи широк достъп до потребителски данни.

CVE-2022-36449

  • Драйвер на ядрото на графичния процесор Midgard: Всички версии от r4p0 – r32p0
  • Драйвер на ядрото на графичния процесор Bifrost: Всички версии от r0p0 – r38p0 и r39p0
  • Драйвер за ядрото на графичния процесор Valhall: Всички версии от r19p0 – r38p0 и r39p0

Констатациите още веднъж подчертават как пропуските в актуализациите могат да направят милиони устройства уязвими едновременно и да ги изложат на риск от засилена експлоатация от страна на хакери.

„Точно както на потребителите се препоръчва да закърпват колкото се може по-бързо, след като е налично издание, съдържащо актуализации за сигурност, същото се отнася и за доставчиците и компаниите“, казва Беер.

„Компаниите трябва да останат бдителни, да следят отблизо източниците нагоре по веригата и да направят всичко възможно да предоставят пълни пачове на потребителите възможно най-скоро.“

 

Източник: The Hacker News

Подобни публикации

1 април 2023

10-годишен бъг в Windows с "opt-in" поправка, и...

Десетгодишна уязвимост на Windows все още се използва при атаки, за...
1 април 2023

Интернет ви наблюдава, може би и вашият шеф?

Всеки ден се създават повече от 2,3 милиарда гигабайта интернет дан...
31 март 2023

Десет стъпки, които ще гарантират киберсигурнос...

  В неотдавнашно проучване на Panda Security в сътрудничество ...
30 март 2023

Интервю с изкуствен интелект

Не остана уважаваща себе си медия, която не е взела интервю от АI п...
30 март 2023

Exchange Online започна блокиране на имейли от ...

Microsoft въвежда нова функция за сигурност на Exchange Online, коя...
30 март 2023

Как да изберете антивирусен софтуер за вашия ма...

Работили сте усилено, за да стартирате бизнеса си. Последното нещо,...
30 март 2023

30 години уязвимости

Тенденциите в киберпрестъпността винаги се променят. През 30-те год...
Бъдете социални
Още по темата
30/03/2023

Exchange Online започна бло...

Microsoft въвежда нова функция за сигурност...
22/03/2023

Mozilla Firefox 111.0.1 отс...

Mozilla е отстранила проблеми, причиняващи срив...
22/03/2023

Microsoft: Актуализация на ...

  Microsoft твърди, че актуализацията KB5007651...
Последно добавени
01/04/2023

10-годишен бъг в Windows с ...

Десетгодишна уязвимост на Windows все още...
01/04/2023

Интернет ви наблюдава, може...

Всеки ден се създават повече от...
31/03/2023

Десет стъпки, които ще гара...

  В неотдавнашно проучване на Panda...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!