Los fallos del controlador de la GPU Mali de Arm siguen sin parchear en dispositivos Android
A pesar de las correcciones publicadas por el fabricante de chips, un conjunto de cinco fallos de seguridad de gravedad media en el controlador GPU Mali de Arm han permanecido sin parchear en dispositivos Android como Samsung, Oppo, Xiaomi y Google durante meses.
Una de las cinco vulnerabilidades causa corrupción de memoria del kernel, otra expone direcciones físicas y tres causan una condición de uso de página física después de libre, lo que permite a un atacante leer y escribir páginas físicas después de que hayan sido devueltas al sistema. Las vulnerabilidades afectan a dispositivos que utilizan la GPU Mali de Arm, lo que significa que afectan a los Google Pixel, Samsung Galaxy y una plétora de otros smartphones Android.
Se descubrió que los fallos, que incluyen un fallo de corrupción de memoria del kernel, una vulnerabilidad de revelación de direcciones físicas y un fallo de uso después de libre, se habían cruzado con zero-days y listas de exploits en la dark web.
En principio, estos fallos podrían permitir a un atacante leer y escribir páginas físicas una vez devueltas al sistema. En otras palabras, un atacante con ejecución de código nativo en una app podría obtener acceso completo al sistema y burlar el modelo de permisos de Android OS.
Entre julio y agosto, Arm parcheó las cinco vulnerabilidades, las divulgó como problemas de seguridad en su página de vulnerabilidades y publicó los controladores parcheados en su sitio web para desarrolladores. Ningún fabricante importante había publicado parches hasta la fecha. Pero Google ha declarado que la corrección proporcionada por Arm se está probando actualmente para dispositivos Android y Pixel, y que se espera que se publique en las próximas semanas. Otros fabricantes de terminales Android deben aplicar el parche para cumplir los futuros requisitos de nivel de parche de seguridad (SPL).
Google Project Zero, un grupo de analistas de seguridad contratados por Google LLC para encontrar vulnerabilidades, advierte de que los fabricantes de teléfonos Android no han proporcionado parches para varias vulnerabilidades descubiertas en la unidad de procesamiento gráfico Mali a principios de este año.
Google dice en un comunicado de los equipos de Android y Pixel que una solución para este exploit está actualmente en pruebas y estará disponible en las próximas semanas. Los socios de Android también tendrán que aplicar el parche.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.