- Сообщения
- 1.114
- Реакции
- 1.076
- Продажи
- 29
- Депозит
- 0.0022 BTC
- Кешбек
- 35.01$
По данным группы аналитиков безопасности Project Zero компании Google, миллионы телефонов с операционной системой Android находятся под угрозой уязвимости, известной как CVE-2022-33917. CVE расшифровывается как Common Vulnerabilities and Exposures, и каждый номер CVE относится к конкретной уязвимости. Вышеупомянутая CVE — это уязвимость, которая затрагивает устройства Android, оснащенные графическим процессором ARM Mali. В списке таких устройств помимо десятков других моделей, находятся Google Pixel и Samsung Galaxy.
Пока исправление не будет распространено, злоумышленники могут потенциально использовать уязвимость. Google говорит, что это позволит злоумышленникам «производить чтение и запись физических страниц после того, как они будут возвращены в систему». Кроме того, компания добавляет, что «заставив ядро повторно использовать эти страницы в качестве таблиц страниц, злоумышленник с выполнением собственного кода в контексте приложения может получить полный доступ к системе, обойдя модель разрешений Android и получить широкий доступ к пользовательским данным».
Project Zero отмечает, что сообщил компании ARM об уязвимостях, и ARM «оперативно» исправила проблемы в июле и августе этого года. ARM присвоила уязвимости номер CVE-2022-33917. Но позже в Google обнаружили, что «все наши тестовые устройства, которые использовали Mali, по-прежнему уязвимы для этих проблем. CVE-2022-36449 не упоминается ни в одном из последующих бюллетеней безопасности». Другими словами, устройства, созданные собственной командой Google Pixel, Samsung, Oppo и Xiaomi, никогда не получали исправление этой критической уязвимости и до сих пор находятся под угрозой.
Смартфоны, находящиеся под угрозой, оснащены графическим процессором Mali, который исключает устройства на базе чипсета Snapdragon. Однако телефоны, использующие чипы Google Tensor, Exynos или MediaTek, уязвимы. Хорошая новость заключается в том, что Google тестирует патч, который, как ожидается, будет выпущен «в ближайшие недели». Производители телефонов, создающие устройства на Android, также должны будут включить его в прошивку девайсов.
В заявлении Google говорится: «Исправление, предоставленное Arm, в настоящее время проходит тестирование для устройств Android и Pixel и будет доставлено в ближайшие недели. OEM-партнеры Android должны будут установить исправление, чтобы соответствовать будущим требованиям SPL».
Компания Google ясно дает понять, что поставщики несут ответственность за исправление недостатков своего программного обеспечения, точно так же, как пользователи Android должны загружать обновления безопасности, как только они будут получены.
«Подобно тому, как пользователям рекомендуется устанавливать исправления, содержащие обновления безопасности, как можно быстрее после их выпуска, то же самое относится и к поставщикам и компаниям. Сведение к минимуму «зазора между исправлениями» со стороны поставщика в этих сценариях, возможно, более важно, поскольку конечные пользователи (или другие поставщики ниже по потоку) блокируют это действие, прежде чем они смогут получить преимущества исправления безопасности устройства», — пишет Google.
Поисковый гигант добавил, что «компании должны сохранять бдительность, внимательно следить за исходными источниками и делать все возможное, чтобы как можно скорее предоставить пользователям полные исправления обнаруженных уязвимостей».
Google не сообщил, что уязвимостью воспользовались какие-либо злоумышленники, но на данный момент она остается недостатком, который можно использовать для кражи личных данных на некоторых телефонах c Android. Когда обновление действительно появится — а Google сказал, что оно появится в ближайшее время — если ваш телефон Android находится под угрозой, немедленно установите это обновление. Вы можете быстро определить, уязвимо ли ваше устройство, просмотрев характеристики вашего телефона на PhoneArena и проверив производителя графического процессора на устройстве. Если он показывает, что у вас есть графический процессор (GPU) ARM Mali, ваше устройство находится под угрозой.
Пока исправление не будет распространено, злоумышленники могут потенциально использовать уязвимость. Google говорит, что это позволит злоумышленникам «производить чтение и запись физических страниц после того, как они будут возвращены в систему». Кроме того, компания добавляет, что «заставив ядро повторно использовать эти страницы в качестве таблиц страниц, злоумышленник с выполнением собственного кода в контексте приложения может получить полный доступ к системе, обойдя модель разрешений Android и получить широкий доступ к пользовательским данным».
Project Zero отмечает, что сообщил компании ARM об уязвимостях, и ARM «оперативно» исправила проблемы в июле и августе этого года. ARM присвоила уязвимости номер CVE-2022-33917. Но позже в Google обнаружили, что «все наши тестовые устройства, которые использовали Mali, по-прежнему уязвимы для этих проблем. CVE-2022-36449 не упоминается ни в одном из последующих бюллетеней безопасности». Другими словами, устройства, созданные собственной командой Google Pixel, Samsung, Oppo и Xiaomi, никогда не получали исправление этой критической уязвимости и до сих пор находятся под угрозой.
Смартфоны, находящиеся под угрозой, оснащены графическим процессором Mali, который исключает устройства на базе чипсета Snapdragon. Однако телефоны, использующие чипы Google Tensor, Exynos или MediaTek, уязвимы. Хорошая новость заключается в том, что Google тестирует патч, который, как ожидается, будет выпущен «в ближайшие недели». Производители телефонов, создающие устройства на Android, также должны будут включить его в прошивку девайсов.
В заявлении Google говорится: «Исправление, предоставленное Arm, в настоящее время проходит тестирование для устройств Android и Pixel и будет доставлено в ближайшие недели. OEM-партнеры Android должны будут установить исправление, чтобы соответствовать будущим требованиям SPL».
Компания Google ясно дает понять, что поставщики несут ответственность за исправление недостатков своего программного обеспечения, точно так же, как пользователи Android должны загружать обновления безопасности, как только они будут получены.
«Подобно тому, как пользователям рекомендуется устанавливать исправления, содержащие обновления безопасности, как можно быстрее после их выпуска, то же самое относится и к поставщикам и компаниям. Сведение к минимуму «зазора между исправлениями» со стороны поставщика в этих сценариях, возможно, более важно, поскольку конечные пользователи (или другие поставщики ниже по потоку) блокируют это действие, прежде чем они смогут получить преимущества исправления безопасности устройства», — пишет Google.
Поисковый гигант добавил, что «компании должны сохранять бдительность, внимательно следить за исходными источниками и делать все возможное, чтобы как можно скорее предоставить пользователям полные исправления обнаруженных уязвимостей».
Google не сообщил, что уязвимостью воспользовались какие-либо злоумышленники, но на данный момент она остается недостатком, который можно использовать для кражи личных данных на некоторых телефонах c Android. Когда обновление действительно появится — а Google сказал, что оно появится в ближайшее время — если ваш телефон Android находится под угрозой, немедленно установите это обновление. Вы можете быстро определить, уязвимо ли ваше устройство, просмотрев характеристики вашего телефона на PhoneArena и проверив производителя графического процессора на устройстве. Если он показывает, что у вас есть графический процессор (GPU) ARM Mali, ваше устройство находится под угрозой.
