Quatro vulnerabilidades de Android estavam sendo exploradas, afirma Google

Pouco tempo depois do Google lançar uma atualização de segurança referente ao mês de maio para o Android, a equipe do Project Zero revelou que quatro dos problemas corrigidos já estavam sendo usados por cibercriminosos.

Conhecidas como CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 e CVE-2021-28664, as vulnerabilidades afetavam a GPU da Qualcomm e a GPU Arm Mali.

No caso da Arm, os bugs permitiam que um invasor conseguisse gravar informações na memória que seria somente para leitura da GPU. Para a Qualcomm, o problema inclui o tratamento incorreto de erros e uma falha de uso da GPU.

Resposta do Google chama a atenção

Em um comunicado, o Google afirmou que as falhas poderiam “estar sob exploração limitada e direcionada”. O que atraiu críticas de alguns especialistas, como é o caso de Dan Goodin, repórter de segurança. Ele declarou que a declaração da empresa foi “vaga a ponto de não fazer sentido”.

A Qualcomm também se posicionou sobre as falhas. A empresa afirma que foi informada sobre a vulnerabilidade CVE-2021-1905 em novembro e que a classificou como de alta gravidade. No entanto, segundo a companhia, apesar dos problemas afetarem um grande número de chipsets da marca, requerem acesso local para serem exploradas.

Felizmente, os problemas foram corrigidos com a chegada do patch de segurança de maio para o Android.

Via: ZDNet