Задержка патчей для дыр в Mali GPU угрожает пользователям Android

Екатерина Быстрова 24 Ноября 2022 - 09:38

...

Задержка патчей для дыр в Mali GPU угрожает пользователям Android

Эксперты снова бьют тревогу по поводу задержки патчей для Android-устройств — это явление называется “patch gap“. На этот раз проблема коснулась связки из пяти уязвимостей в графическом ядре Mali, которое разрабатывает компания ARM.

Удивительно, но некоторые производители смартфонов до сих пор не имплементировали патчи, хотя прошло несколько месяцев после их выпуска ARM. В результате миллионы мобильных устройств от Google, Samsung, Xiaomi, Oppo открыты для эксплуатации связки из пяти брешей.

На проблему обратили внимание исследователи из Google Project Zero, обвинив во всём пресловутый patch gap, от которого так и не избавились в случае с Android-смартфонами. Для зелёного робота вполне обычной является ситуация, в которой важные обновления доставляются месяцами. Всё это время владельцам девайсов остаётся лишь надеяться, что они не станут жертвой взлома.

На время подготовки апдейтов влияет необходимость сначала протестировать все патчи на разных устройствах, прежде чем выдавать их конечным пользователям.

Упомянутые уязвимости специалисты Project Zero обнаружили в июне 2022 года. Сейчас их отслеживают под общими идентификаторами CVE-2022-33917 и CVE-2022-36449. Первая позволяет пользователю с низкими правами запустить некорректные операции обработки в графическом ядре и получить доступ к свободным секциям памяти.

Под идентификатором CVE-2022-36449 эксперты собрали проблемы, приводящие к записи за пределами границ буфера и доступу к освобождённой памяти. Сам проект Project Zero разделил уязвимости на пять частей и присвоил им следующие номера: 2325, 2327, 2331, 2333 и 2334.

Известно, что среди затронутых моделей есть Google Pixel 7, Asus ROG Phone 6, Redmi Note 11 and 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro and Reno 8 Pro, Motorola Edge и OnePlus 10R.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 20 Сентября 2024 - 19:04

Домашние пользователи Системы аутентификации Парольная защита (пароли)

Google Chrome теперь синхронизирует passkey между Android и десктопами

В Chrome упростили использование беспарольной аутентификации (passkey) на Windows, macOS и Linux. Отныне такие ключи доступа можно сохранять в Google Password Manager с десктопа, и они будут автоматом синхронизироваться между всеми устройствами юзера.

Реализация кросс-платформенной поддержки (в список обещают добавить также iOS) потребовала дополнительных мер безопасности. В частности, были реализованы новая функциональность Google Password Manager PIN и сквозное шифрование passkey — с тем, чтобы эти ключи доступа не попали в чужие руки, даже к Google.

При первом сохранении passkey с использованием десктопной версии браузера менеджер паролей (GPM) попросит ввести код разблокировки экрана Android-устройства (для подтверждения личности), а затем создать ПИН.

По умолчанию этот код должен состоять из шести цифр, но юзеру предоставлена возможность расширить строку и использовать также буквы. Использование хранимых ключей беспарольного доступа потребует ввода ПИН (либо идентификатора с Android).

Прежде владельцы Chrome могли сохранять passkey в GPM только с помощью Android. Пользоваться ими можно было и с других платформ, однако это требовало скана QR-кода устройством, на котором их создали. Нововведения позволяют пропустить этот этап, что упрощает вход на сайты и в приложения.

По внутренним данным, технологию passkey используют более 400 млн аккаунтов Google. В Android при этом предусмотрена возможность подтверждения личности с помощью passkey одним тапом.