Milhões de dispositivos Android continuam sem patches para falhas de GPU Mali

Google diz que linguagem de programação Rust protege mais o Android

Milhões de smartphones Android estão há meses sem patches para falhas de GPU Mali. Um conjunto de cinco falhas de segurança de gravidade média no driver de GPU Arm’s Mali continuam sem correção, mesmo com as correções lançadas pelo fabricante de chips.

O Google Project Zero, que descobriu e relatou as falhas, disse que Arm corrigiu as deficiências em julho e agosto de 2022. “Essas correções ainda não chegaram aos dispositivos Android afetados (incluindo Pixel, Samsung, Xiaomi, Oppo e outros)”, disse o pesquisador do Project Zero, Ian Beer, em um relatório.

O pesquisador ainda disse que “Dispositivos com uma GPU Mali estão atualmente vulneráveis”. As vulnerabilidades, rastreadas coletivamente sob os identificadores CVE-2022-33917 (pontuação CVSS: 5,5) e CVE-2022-36449 (pontuação CVSS: 6,5), dizem respeito a um caso de processamento inadequado de memória, permitindo assim que um usuário não privilegiado obtenha acesso para liberar memória.

Dispositivos Android continuam sem patches para falhas de GPU Mali

milhoes-de-dispositivos-android-ainda-nao-tem-patches-para-falhas-de-gpu-do-mali

A segunda falha, CVE-2022-36449, pode ser armada para gravar fora dos limites do buffer e divulgar detalhes de mapeamentos de memória, de acordo com um comunicado emitido pela Arm. A lista de drivers afetados você encontra a seguir.

CVE-2022-33917: Valhall GPU Kernel Driver: Todas as versões de r29p0 – r38p0.

CVE-2022-36449:

  • Midgard GPU Kernel Driver: Todas as versões de r4p0 – r32p0;
  • Bifrost GPU Kernel Driver: Todas as versões de r0p0 – r38p0 e r39p0;
  • Valhall GPU Kernel Driver: Todas as versões de r19p0 – r38p0 e r39p0.

Uma exploração bem-sucedida das falhas pode permitir que um invasor com permissões para executar código nativo em um contexto de aplicativo assuma o controle do sistema e ignore o modelo de permissões do Android para obter amplo acesso aos dados do usuário.

Essas descobertas mais uma vez destacam como as lacunas de patch podem tornar milhões de dispositivos vulneráveis ??ao mesmo tempo e colocá-los em risco de exploração intensificada por agentes de ameaças.

“Assim como os usuários são recomendados a corrigir o mais rápido possível quando uma versão contendo atualizações de segurança estiver disponível, o mesmo se aplica a fornecedores e empresas”, disse Beer.

“As empresas precisam permanecer vigilantes, acompanhar de perto as fontes upstream e fazer o possível para fornecer patches completos aos usuários o mais rápido possível”, acrescentou.

Os dispositivos Android ainda continuam sem os patches e, possivelmente, ficarão ainda um tempo desse jeito. Esperamos que essa lacuna de segurança seja resolvida em breve, para que os usuários consigam a segurança necessária novamente.