Muchos teléfonos inteligentes con Android son vulnerables a varios problemas de seguridad muy graves informados por Google Project Zero durante el verano, pero aún sin parches, a pesar de que Arm lanzó correcciones para ellos.
Los teléfonos Android con GPU Arm Mali se ven afectados por la falla sin parchear. Como señala el investigador de GPZ, Ian Beer, incluso los teléfonos Pixel de Google son vulnerables, al igual que los teléfonos de Samsung, Xiaomi, Oppo y otros.
Beer insta a todos los proveedores de teléfonos inteligentes Android a hacer exactamente lo que se les ha dicho a los consumidores y reparar sus dispositivos lo antes posible. Actualmente, los propios usuarios de teléfonos inteligentes no pueden aplicar un parche para el controlador de GPU Arm Mali, a pesar de que Arm lanzó correcciones para ellos hace meses, porque ningún proveedor de teléfonos inteligentes con Android ha aplicado las correcciones a sus versiones de Android.
como la cerveza notas en un blogEl investigador de GPZ, Jann Horn, ha encontrado cinco vulnerabilidades explotables en un controlador de GPU de Mali que GPZ está rastreando como problemas. 2325Y el 2327Y el 2331Y el 2333Y el 2334. Estos fueron informados a Arm en junio y julio de 2022.
además: Los mejores teléfonos 5G: ¿qué buque insignia se destaca?
Arm los arregló en julio y agosto y les asignó el ID de vulnerabilidad CVE-2022-36449revelado en Debilidades de los impulsores del brazo financiero página y publicado La fuente del controlador corregido está en el sitio web público del desarrollador.. Otro error de Mali GPU Arm Fix se rastrea como CVE-2022-33917. Beers señala ambos errores en su informe sobre una «brecha de parche» por parte de los proveedores de teléfonos Android.
Entonces, durante meses, los proveedores han tenido la información disponible para parchearlos, pero en una verificación reciente de GPZ, ninguna de las principales marcas de Android ha publicado una solución para ellos.
De acuerdo con sus propias políticas, GPZ también levantó la prohibición de acceso público a sus cinco informes, lo que significa que cualquiera que quiera ahora puede obtener la mayor parte de la información que necesita para crear exploits para el error, que afecta a la mayoría de los teléfonos Android modernos.
Afortunadamente, el equipo de Google Pixel y el equipo de Android parecen estar trabajando en el problema. A partir de esta semana, el equipo de Android está hablando con los fabricantes de teléfonos inteligentes con Android (OEM) y les pedirá que corrijan los agujeros de seguridad para el cumplimiento de los OEM de Android. Política de nivel de parche de seguridad (SPL). Pero el equipo de Pixel no tendrá parches hasta dentro de unas semanas. Los OEM de Android eventualmente seguirán su ejemplo.
Actualización desde Android y Pixel, Escribió El investigador de GPZ, Tim Willis, informó el martes las cinco fallas.
Williams escribió, citando a un miembro de los equipos de Android y Pixel.
Para la cerveza, es un recordatorio de que los vendedores deben hacer lo que se les dice a los consumidores.
«Así como se recomienda a los usuarios que parchen lo antes posible tan pronto como esté disponible una versión que contenga actualizaciones de seguridad, lo mismo es cierto para los proveedores y las empresas», escribió Beer.
Podría decirse que «reducir la brecha del parche» como recurso en estos escenarios es aún más importante, ya que los usuarios finales (o, en última instancia, otros proveedores) bloquean esta acción antes de que puedan obtener los beneficios de seguridad del parche.
«Las empresas deben permanecer atentas, seguir de cerca las fuentes primarias y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible».
«Fanático del café. Amable aficionado a los zombis. Devoto practicante de la cultura pop. Malvado defensor de los viajes. Organizador típico».