La difficile diffusione delle patch di sicurezza nel mondo Android

0
7

Le complicazioni di un ecosistema open con molteplici società coinvolte nello sviluppo software.

I ricercatori di sicurezza di Google Project Zero hanno pubblicato un interessante articolo che analizza un aspetto piuttosto cruciale della correzione di vulnerabilità nell’ecosistema Android: l’effetto viene chiamato “patch gap“, e in concreto significa che a causa dei tanti passaggi che essa deve compiere un utente può aspettare anche settimane e mesi per vederla arrivare sul proprio dispositivo – rimanendo quindi inevitabilmente vulnerabile.

La storia riguarda le GPU Mali, che sono progettate direttamente da Arm, e di cinque vulnerabilità dei loro driver. Le falle sono state identificate tutte intorno a giugno 2022 ma sono raccolte in due soli identificatori CVE. I dettagli sono come segue:

CVE-2022-33917 permette a un utente senza privilegi di accesso particolari di eseguire operazioni non autorizzate sulla GPU tramite cui si riesce ad accedere a sezioni libere della memoria. La vulnerabilità riguarda i driver kernel Valhall dalla versione r29p0 alla versione r38p0.
CVE-2022-36449 permette a un utente senza privilegi di ottenere accessi a memoria liberata, scrivere al di fuori dei limiti del buffer e ottenere dettagli riservati sulla mappatura della memoria. I driver vulnerabili sono:
architettura Midgard: da r4p0 a r32p0
architettura Bifrost: da r0p0 a r38p0 e r39p0 prima di r38p1
architettura Valhall: da r19p0 a r38p0 e r39p0 prima di r38p1

Arm ha pubblicato patch correttive a pochi giorni di distanza dalla notifica originale di Project Zero: ad agosto il codice sorgente del driver corretto era disponibile sul sito dedicato agli sviluppatori. Il problema è che a settembre Project Zero ha provato a controllare di nuovo sui device di test a disposizione e ha scoperto che nessuno era ancora al sicuro. Vale la pena a questo punto ricordare che le GPU Mali sono usate per esempio dai SoC MediaTek, dagli Exynos (tranne i flagship 2200 di quest’anno, che usano per la prima volta GPU derivate da AMD) e dai Google Tensor.

CLICCA QUI PER CONTINUARE A LEGGERE

Read MoreAndroid, GoogleHDblog.it

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.