Милиони устройства с Android не са актуализирани за грешките в Mali

Цели пет средни по сериозност грешки в сигурността в драйвера на графичния процесор Mali на Arm продължава да не е отстранен в устройствата с Android в продължение на месеци, въпреки че производителят на чипове публикува поправките.

Google Project Zero, който откри и докладва за бъговете, заяви, че Arm е отстранил недостатъците през юли и август 2022г.

„Тези поправки все още не са стигнали надолу по веригата до засегнатите устройства с Android (включително Pixel, Samsung, Xiaomi, Oppo и други)“, заяви в доклад изследователят от Project Zero Иън Беър. „Устройствата с графичен процесор Mali в момента са уязвими.“

Уязвимостите, проследявани колективно под идентификатори CVE-2022-33917 (CVSS оценка: 5,5) и CVE-2022-36449 (CVSS оценка: 6,5), се отнасят до случай на неправилна обработка на паметта, като по този начин позволяват на непривилегирован потребител да получи достъп до освободената памет.

Вторият недостатък, CVE-2022-36449, може да бъде допълнително използван за писане извън границите на буфера и разкриване на подробности за съпоставянето на паметта, според издадена от Arm консултация. Списъкът на засегнатите драйвери е представен по-долу –

CVE-2022-33917

Драйвер на ядрото на графичния процесор Valhall: Всички версии от r29p0 – r38p0

Успешното използване на недостатъците може да позволи на нападател с права за изпълнение на нативен код в контекста на приложение да поеме контрола над системата и да заобиколи модела за разрешения на Android, за да получи широк достъп до потребителски данни.

CVE-2022-36449

Драйвер на ядрото на графичния процесор Midgard: Всички версии от r4p0 – r32p0
Драйвер на ядрото на графичния процесор Bifrost: Всички версии от r0p0 – r38p0 и r39p0
Драйвер за ядрото на графичния процесор Valhall: Всички версии от r19p0 – r38p0 и r39p0

Констатациите още веднъж подчертават как пропуските в актуализациите могат да направят милиони устройства уязвими едновременно и да ги изложат на риск от засилена експлоатация от страна на хакери.

„Точно както на потребителите се препоръчва да закърпват колкото се може по-бързо, след като е налично издание, съдържащо актуализации за сигурност, същото се отнася и за доставчиците и компаниите“, казва Беер.

„Компаниите трябва да останат бдителни, да следят отблизо източниците нагоре по веригата и да направят всичко възможно да предоставят пълни пачове на потребителите възможно най-скоро.“

#android, # бъгове

The Hacker News

Подобни

Oпасен бъг в React Server Components

5.12.2025

laptop-bug-fix-lvcandy-istock-vectors-getty-images-56a6fa1b5f9b58b7d0e5ce40

Критична уязвимост във Vim за Windows

5.12.2025

vulnerabilities pexels-shkrabaanthony-5475752

Критична уязвимост в Sneeit Framework за WordPress е под активна експлоатация

5.12.2025

Социален инженеринг извън имейлите - заплахите в реалния живот

5.12.2025

Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)

4.12.2025

Кибер Коледа 2025 – киберсигурността като мултидисциплинарна екосистема

3.12.2025

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"