Notícias de dispositivos móveis, gadgets, aplicativos Android

Falhas de segurança da Mediatek que afetam smartphones, tablets, Wi-Fi e outros chipsets

O Boletim de Segurança do Produto de julho de 2023 da fabricante de chips taiwanesa MediaTek descreve falhas de segurança que afetam os chipsets MediaTek para smartphonestablets, AIoT, monitores inteligentes, monitores inteligentes, OTT e Wi-Fi.

Esse consultoria de segurança fornece detalhes sobre 24 vulnerabilidades, das quais CVE-2023-20754 e CVE-2023-20755 foram classificadas como de gravidade ‘Alta’.

Detalhes das falhas de gravidade ‘alta’

  1. CVE-2023-20754 – Estouro de número inteiro ou wraparound em keyinstall

A vulnerabilidade é rastreada como CVE-2023-20754, estouro de número inteiro ou wraparound em keyinstall com uma faixa de severidade ‘alta’. Devido a um estouro de número inteiro, pode haver uma instalação de chave de gravação fora dos limites.

Isso pode resultar na necessidade de privilégios de execução do sistema e escalonamento de privilégios locais. A exploração não precisa do envolvimento do usuário.

Chipsets afetados: MT6580, MT6731, MT6735, MT6737, MT6739, MT6753, MT6757, MT6757C, MT6757CD, MT6757CH, MT6761, MT6762, MT6763, MT6765, MT6768, MT6769, MT6771, MT6779, MT6781, MT6785 , MT6789, MT6833, MT6835, MT6853, MT6853T, MT6855, MT6873, MT6875, MT6877, MT6879, MT6883, MT6885, MT6886, MT6889, MT6891, MT6893, MT6895, MT6983, MT6985, MT8185, MT8321, MT8385, MT8666, MT8667, MT8765, MT8 766, MT8768, MT8781, MT8786, MT8788, MT8789, MT8791, MT8791T, MT8797.

Versões de software afetadas: Android 11.012.013.0.

  1. CVE-2023-20755: Validação de entrada inadequada no keyinstall

A validação de entrada inadequada na vulnerabilidade keyinstall é rastreada como CVE-2023-20755, com uma faixa de gravidade ‘alta’, onde um estouro de número inteiro em keyinstall pode resultar em uma gravação fora dos limites.

Isso pode resultar em uma escalada local de privilégios com a necessidade de direitos de execução do sistema. A exploração não precisa do envolvimento do usuário.

Nós recomendamos:  Radiação para smartphone: vamos descobrir juntos os smartphones mais perigosos

Chipsets afetados: MT6580, MT6731, MT6735, MT6737, MT6739, MT6753, MT6757, MT6757C, MT6757CD, MT6757CH, MT6761, MT6762, MT6763, MT6765, MT6768, MT6769, MT6771, MT6779, MT6781, MT6785 , MT6789, MT6833, MT6835, MT6853, MT6853T, MT6855, MT6873, MT6875, MT6877, MT6879, MT6883, MT6885, MT6886, MT6889, MT6891, MT6893, MT6895, MT6983, MT6985, MT8185, MT8321, MT8385, MT8666, MT8667, MT8765, MT8 766, MT8768, MT8781, MT8786, MT8788, MT8789, MT8791, MT8791T, MT8797

Versões de software afetadas: Android 11.012.013.0

Falhas de Gravidade ‘Média’

  1. CVE-2023-20753: Escrita fora dos limites
  2. CVE-2023-20756: Estouro de número inteiro ou wraparound
  3. CVE-2023-20757: Validação de entrada inadequada no cmdq
  4. CVE-2023-20758: Validação de entrada inadequada no cmdq
  5. CVE-2023-20759: Validação de entrada inadequada no cmdq
  6. CVE-2023-20760: Validação de entrada inadequada em apu
  7. CVE-2023-20761: Validação de entrada inadequada em ril
  8. CVE-2023-20766: Validação de entrada inadequada no GPS
  9. CVE-2023-20767: Validação de entrada inadequada no pqframework
  10. CVE-2023-20768: Acesso de recurso usando tipo incompatível (‘confusão de tipos’)
  11. CVE-2023-20771: Execução simultânea usando o recurso compartilhado com sincronização inadequada (‘condição de corrida’)
  12. CVE-2023-20772: Autenticação inadequada
  13. CVE-2023-20773: Autenticação inadequada
  14. CVE-2023-20774: Validação de entrada inadequada no display
  15. CVE-2023-20775: Cópia do buffer sem verificar o tamanho da entrada (‘Classic Buffer Overflow’)
  16. CVE-2023-20689: Estouro de número inteiro para estouro de buffer
  17. CVE-2023-20690: Estouro de número inteiro para estouro de buffer
  18. CVE-2023-20691: Estouro de número inteiro para estouro de buffer
  19. CVE-2023-20692: Desreferência de ponteiro NULL
  20. CVE-2023-20693: Desreferência de ponteiro NULL
  21. CVE-2022-32666: Representação falsa de informações críticas na interface do usuário (IU)
  22. CVE-2023-20748: Validação de entrada inadequada

A empresa acrescentou que os OEMs dos dispositivos foram informados de todos os problemas e das atualizações de segurança que os acompanham pelo menos dois meses antes da publicação.

Nós recomendamos:  Google Lens para Android lança recurso de tradução offline

Table of Contents