Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Команда Google Project Zero находится на переднем крае цифровой безопасности, анализирует код, отчетность об ошибках и, как правило, делает интернет более безопасным. Однако не каждая уязвимость зафиксирована своевременно. Недавняя партия серьезных недостатков в Mali GPU ARM сообщила Project Zero и зафиксирована производителем. Тем не менее, поставщики смартфонов никогда не реализовали патчи, среди которых сам Google. Итак, это немного смущающе.

История начинается в июне 2022 года, когда исследователь Project Zero Maddie Stone выступил с презентацией по подвигам нулевого дня-известных уязвимостей, для которых нет доступного патча. В разговоре использовалась уязвимость, идентифицированная как CVE-2021-39793 и Pixel 6 в качестве примера. Этот недостаток позволил приложениям получить доступ к страницам памяти только для чтения, которые могут утечь личные данные. После этого исследователь Джанн Хорн начал более внимательно изучать код графического процессора Arm Mali, обнаруживая еще пять уязвимостей, которые могли бы позволить злоумышленнику обходить модель разрешения Android и взять под контроль систему.

Некоторые из этих вопросов были якобы доступны для продажи на хакерских форумах, что делает их особенно важными для исправления. Project Zero сообщил о проблемах ARM, которые следовали за исправлениями исходного кода для реализации поставщиков. Project Zero ждал еще 30 дней, чтобы раскрыть недостатки, что и в августе и в середине сентября 2022 года. Обычно это будет конец истории, но Project Zero иногда возвращается, чтобы оценить функциональность исправлений. В этом случае команда нашла «патч -разрыв».

Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Хотя ARM выпустил патчи в течение лета, поставщики не интегрировали их в свои обычные обновления Android. Проблемы затрагивают многочисленные устройства, которые запускают систему на чипе с использованием графического процессора Mali, включая телефоны Android из Samsung, Xiaomi, Oppo и Google. Чипы Snapdragon избавлены, поскольку они используют собственный графический процессор Qualcomm Adreno. Таким образом, телефоны Samsung в Северной Америке безопасны, но те, которые продаются на международном уровне с чипсами Exynos, находятся в опасности.

В прошлые годы это, возможно, не повлияло на Google, но компания переключилась с Qualcomm на пользовательские тензорные чипы для пиксельных телефонов в 2021 году. Tensor использует графический процессор Mali, поэтому команда безопасности Google обнаружила недостатки, которые команда Pixel не смогла добавить к обычным программные обновления. Google не одинок в совершении этой ошибки, но это все еще не очень большой вид. Google теперь говорит, что патчи Мали будут добавлены в пиксельные телефоны «в ближайшие недели». Другие поставщики еще не предложили график.

Читать далее

Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня
Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня

В отличие от последних нескольких нулевых дней, Google не обнаружил эти дыры в безопасности сам. Вместо этого он был предоставлен анонимными третьими сторонами, и проблемы настолько серьезны, что они не раскрыли полных деталей. Достаточно сказать, что вам стоит перестать откладывать это обновление.

Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi
Google раскрывает уязвимость iPhone, которая может украсть данные через Wi-Fi

По словам Яна Бира из группы безопасности Google Project Zero, уязвимость позволяла ему красть фотографии с любого iPhone, просто направив на него антенну Wi-Fi.

AMD раскрывает призванную уязвимость в CPU в Цен 3
AMD раскрывает призванную уязвимость в CPU в Цен 3

AMD раскрыла потенциальную уязвимость в области безопасности на его процессорах ZEN 3 с сходством к приступе к призракам от нескольких лет назад, но компания считает, что риск минимален.

Intel, исследователи обсуждают, существуют ли новые уязвимости типа спектров
Intel, исследователи обсуждают, существуют ли новые уязвимости типа спектров

Исследователи утверждают, что нашли новый тип призрачной атаки, который обходит все существующие защиты, но что обрамление не поддерживается.