Tema: Google dice que el Galaxy S22, Pixel 6 y más están en riesgo debido a chips Exynos inseguros
Ver Mensaje Individual
  #15  
Viejo 20/03/23, 19:25:29
Avatar de Kruner
Kruner Kruner no está en línea
Usuario muy activo
Mensajes: 604
  
Fecha de registro: oct 2016
Mensajes: 604
Modelo de smartphone: PORSCHE DESIGN HONOR Magic6 RSR
Tu operador: Vodafone
Mencionado: 0 comentarios
Tagged: 0 hilos
Cita:
Originalmente Escrito por ismacom Ver Mensaje
Pero estas vulnerabilidades salen a posteriori, el sistema perfectamente seguro no existe. Ahora toca parchear el sistema, y ahí es Google junto con Samsung los que deben de lanzar parches para corregirlo, pero sobre todo Google mejorando el parche de seguridad mensual que es cosa suya.

Vamos, lo mismo que pasó en Intel con las vulnerabilidades Meltdown y Spectre.
En este caso, Project Zero (equipo de búsqueda de vulnerabilidades de Google) descubrió e informó 18 vulnerabilidades de día cero en algunos chips Exynos de Samsung. Corresponde a Samsung crear y facilitar los parches, pero sus ingenieros no han sido capaces de solucionar algunas de ellas en tres meses, teniendo que suspender excepcionalmente Google (en 4 de las 18), ante la gravedad y facilidad de explotación de las vulnerabilidades, su política de hacerlas públicas pasados 90 días.

Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
(...)
Due to a very rare combination of level of access these vulnerabilities provide and the speed with which we believe a reliable operational exploit could be crafted, we have decided to make a policy exception to delay disclosure for the four vulnerabilities that allow for Internet-to-baseband remote code execution. We will continue our history of transparency by publicly sharing disclosure policy exceptions, and will add these issues to that list once they are all disclosed.

Related vulnerabilities not being withheld
Of the remaining fourteen vulnerabilities, we are disclosing four vulnerabilities (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074 and CVE-2023-26075) that have exceeded Project Zero's standard 90-day deadline today. These issues have been publicly disclosed in our issue tracker, as they do not meet the high standard to be withheld from disclosure. The remaining ten vulnerabilities in this set have not yet hit their 90-day deadline, but will be publicly disclosed at that point if they are still unfixed.
(...)

A Google le corresponden, sobre todo, los parches de seguridad de su sistema operativo, aunque con el paso de los años haya ido incorporando, de acuerdo con fabricantes, parches y actualizaciones de firmware para determinados componentes de hardware. En este caso, corresponde a Samsung desarrollar los parches, y a los fabricantes actualizar los dispositivos. En un principio, los afectados son:

Samsung: S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04 series.
Vivo: S16, S15, S6, X70, X60 y X30 series.
Google: Pixel 6 y Pixel 7 series.
Vehículos: Exynos Auto T5123 chipset.

El símil con Intel cuando lo de Meltdown y Spectre, es que Intel debía parchear las vulnerabilidades, no Microsoft, igual que aquí la responsable es Samsung, no Google. Eso sí, una vez desarrollados los parches y facilitados a los fabricantes, son los fabricantes quienes han de ofrecer la actualización. Precisamente, en el caso de Meltdown y Spectre, el parcheado completo era una mezcla de hardware y software: había que aplicar la actualización del microcódigo en la BIOS (fabricante), más las ofrecidas por Windows (responsable del software).
Última edición por Kruner Día 20/03/23 a las 19:30:17
Responder Con Cita