O Google vem corrigindo muitas falhas de segurança nos últimos meses. Agora, por exemplo, o Google lançou o boletim de segurança de maio para Android, nível de patch de segurança 2022-05-05, que corrigiu uma falha do kernel Linux explorada ativamente.
O CVE-2021-22600 é um problema de escalonamento de privilégios que reside no kernel do Linux, um invasor pode acioná-lo por meio de acesso local. Em abril, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a falha ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
Falhas do kernel Linux
O Google divulgou a vulnerabilidade encontrada na implementação do protocolo de rede de pacotes do kernel, rastreada como CVE-2021-22600, em janeiro, mas foi abordada para o sistema operacional Android apenas este mês. “Há indicações de que o CVE-2021-22600 pode estar sob exploração limitada e direcionada”, diz o boletim publicado pelo Google.
A empresa não divulgou os detalhes dos ataques que exploram essa falha. E, provavelmente não o fará. A falha é abordada meses depois de sua divulgação e, aparentemente, o Google resolveu o problema e não quer falar sobre ele.
A descrição atual traz a vulnerabilidade como “Um bug livre duplo em packet_set_ring() em net/packet/af_packet.c pode ser explorado por um usuário local através de syscalls criadas para escalar privilégios ou negar serviço. Recomendamos atualizar o kernel após as versões afetadas”.
Falhas abordadas no boletim
O boletim abordou cinco falhas no Framework, oito no sistema, quatro nos componentes do Kernel, três nos componentes MediaTek, cinco nos componentes Qualcomm e onze nos componentes de código fechado da Qualcomm.
Muitas vulnerabilidades ainda não foram abordadas pelo Google, mas isso deve ser feito em algum momento, nos próximos boletins. Recomenda-se que você atualize seus dispositivos e aplicativos para as versões de atualizações mais recentes.
Apesar da abordagem tardia dessa falha do kernel Linux no Android, a atualização precisa ser feita o mais rápido possível, para que a falha não seja explorada, apesar de sua ampla exploração nos últimos meses.
Google dobra pagamento de recompensas para quem achar falhas no kernel Linux
Embora tenha anunciado inicialmente no final do ano passado que os relatórios de vulnerabilidades críticas receberiam recompensas de até US$ 50.337, dependendo de sua gravidade, o Google decidiu em fevereiro deste ano, que o valor seria aumentado para uma recompensa máxima para US$ 91.337.
O valor recebido por cada vulnerabilidade, depende de várias condições. Isso inclui se eles são zero-days (bugs novos sem um patch de segurança), se eles não exigem namespaces sem privilégios e se eles usam novas técnicas de exploit.
Desde novembro de 2021, o Google pagou mais de US$ 175.000 (quase R$ 890.000,00) por nove envios diferentes, incluindo cinco dias zero e dois dias 1.
Via: SecurityAffairs