Милиони устройства с Android не са актуализирани за грешките в Mali

Picture of e-security.bg
e-security.bg
Aрхив | Уязвимости

Цели пет средни по сериозност грешки в сигурността в драйвера на графичния процесор Mali на Arm продължава да не е отстранен в устройствата с Android в продължение на месеци, въпреки че производителят на чипове публикува поправките.

Google Project Zero, който откри и докладва за бъговете, заяви, че Arm е отстранил недостатъците през юли и август 2022г.

„Тези поправки все още не са стигнали надолу по веригата до засегнатите устройства с Android (включително Pixel, Samsung, Xiaomi, Oppo и други)“, заяви в доклад изследователят от Project Zero Иън Беър. „Устройствата с графичен процесор Mali в момента са уязвими.“

Уязвимостите, проследявани колективно под идентификатори CVE-2022-33917 (CVSS оценка: 5,5) и CVE-2022-36449 (CVSS оценка: 6,5), се отнасят до случай на неправилна обработка на паметта, като по този начин позволяват на непривилегирован потребител да получи достъп до освободената памет.

Вторият недостатък, CVE-2022-36449, може да бъде допълнително използван за писане извън границите на буфера и разкриване на подробности за съпоставянето на паметта, според издадена от Arm консултация. Списъкът на засегнатите драйвери е представен по-долу –

CVE-2022-33917

  • Драйвер на ядрото на графичния процесор Valhall: Всички версии от r29p0 – r38p0

Успешното използване на недостатъците може да позволи на нападател с права за изпълнение на нативен код в контекста на приложение да поеме контрола над системата и да заобиколи модела за разрешения на Android, за да получи широк достъп до потребителски данни.

CVE-2022-36449

  • Драйвер на ядрото на графичния процесор Midgard: Всички версии от r4p0 – r32p0
  • Драйвер на ядрото на графичния процесор Bifrost: Всички версии от r0p0 – r38p0 и r39p0
  • Драйвер за ядрото на графичния процесор Valhall: Всички версии от r19p0 – r38p0 и r39p0

Констатациите още веднъж подчертават как пропуските в актуализациите могат да направят милиони устройства уязвими едновременно и да ги изложат на риск от засилена експлоатация от страна на хакери.

„Точно както на потребителите се препоръчва да закърпват колкото се може по-бързо, след като е налично издание, съдържащо актуализации за сигурност, същото се отнася и за доставчиците и компаниите“, казва Беер.

„Компаниите трябва да останат бдителни, да следят отблизо източниците нагоре по веригата и да направят всичко възможно да предоставят пълни пачове на потребителите възможно най-скоро.“

 

#android, # бъгове
The Hacker News

Подобни

Над 1,1 милиона семейства в риск: критични уязвимости в бебефони
14.05.2026
parents_children
Microsoft пусна Windows 10 KB5087544 с Patch Tuesday
13.05.2026
windows-10-1535765_1280
Microsoft пусна May 2026 Patch Tuesday обновления за Windows 11
13.05.2026
Windows_11_blur
Dirty Frag: нов Linux zero-day дава root достъп с една команда
11.05.2026
linux
ShinyHunters атакува отново Instructure - компрометирани са стотици университети
11.05.2026
cybercrime-3528223_1280
Ivanti предупреждава за активно експлоатирана zero-day уязвимост
11.05.2026
Ivanti

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy