Los dispositivos Android siguen experimentando problemas de seguridad, en este caso, por los errores detectados en el controlador de las tarjetas gráficas Mali de ARM que incorporan algunos de sus últimos modelos.
A pesar de que ARM ha corregido los errores de la GPU Mali, existen cinco errores de seguridad de gravedad media que siguen sin parchearse desde hace meses y que afectan a miles de dispositivos Android.
Google Project Zero, que descubrió e informó los estos errores, ha manifestado que ARM ya solucionó estos fallos en julio y agosto de este mismo año. Sin embargo, los parches no han llegado aún a los dispositivos Android que están afectados, incluidos los Pixel, Samsung, Xiaomi, y Oppo, entre otros.
Por lo tanto, aquellos dispositivos que incluyen una tarjeta gráfica Mali actualmente son vulnerables.
Dispositivos Android en riesgo
Las vulnerabilidades detectadas en Mali están identificadas como CVE-2022-33917 (puntaje CVSS: 5.5) y CVE-2022-36449 (puntaje CVSS: 6.5), y hacen referencia a un procesamiento de memoria inadecuado. Esto permite que un usuario sin privilegios tenga acceso a la memoria.
Según ARM, en el caso del fallo CVE-2022-36449, se puede armar aún más para escribir fuera de los límites del búfer y revelar detalles de las asignaciones de memoria.
Los controladores afectados por el fallo CVE-2022-33917 son todas las versiones de la GPU Valhall desde r29p0 a la r38p0.
En el caso del CVE-2022-36449, están afectadas todas las versiones Midgard GPU Kernel Driver desde la r4p0 a la r32p0; el controlador kernel GPU Bifrost desde la versión r0p0 a la r38p0 y la r39p0; así como el controlador de núcleo de GPU Valhall, en todas las versiones desde la r19p0 a la r38p0 y la r39p0.
De acuerdo con los expertos, estos hallazgos destacan cómo las brechas por falta de parches pueden hacer que millones de dispositivos sigan siendo vulnerables y ponerlos en una situación de riesgo a una mayor explotación por parte de los actores de amenazas.
Desde Project Zero recomiendan a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, algo que también deben hacer los proveedores y empresas.
Las organizaciones deben prestar especial atención y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible.