En agosto de 2014, la empresa de seguridad QuarksLAB escribió a Samsung sobre dos vulnerabilidades graves descubiertas que afectan al kernel del Galaxy S4 (modelo GT-I9500). Samsung no hizo nada por solucionar los bugs hasta que QuarksLAB publicó un post en detalle sobre el asunto, hace apenas un par de semanas. Pero hay más.

Advertisement

El fabricante coreano parchear√° la vulnerabilidad √ļnicamente en los dispositivos que funcionen sobre Android 5 Lollipop. Samsung ha confirmado que dejar√° sin arreglar los terminales m√°s antiguos, aquellos que est√©n todav√≠a en JellyBean o KitKat. Las dos vulnerabilidades, explicadas en Softpedia, se encuentran en los drivers de v√≠deo del Galaxy S4.

La primera permite filtrar programas en la pila, con lo que el atacante conseguiría saturar la memoria o hacer funcionar un exploit. La segunda permite sobreescribir los punteros de algunas funciones o los valores de la memoria virtual, con lo que se conseguiría un ataque de denegación de servicio o elevar los privilegios de un programa.

La parsimonia de Samsung

Esta es la cronolog√≠a de las interacciones entre QuarksLAB y Samsung, seg√ļn la propia QuarksLAB:

  • Feb 03 2014 - Vulnerabilities found
  • Aug 08 2014 - Report sent to the Samsung Security Team
  • Nov 24 2014 - Samsung confirmed the security issuesFeb
  • 11 2015 - Private CVE request sent to the Mitre team but no response
  • Feb 18 2015 - Second private CVE request sent to the Mitre team but no response
  • Mar 16 2015 - CVE request sent to Kurt Seifried
  • Mar 17 2015 - CVE assigned: CVE-2015-1800 (1 bug) and CVE-2015-1801 (4 bugs)
  • Sep 11 2015 - Last attempt to obtain a patch from the Samsung Security Team
  • Sep 21 2015 - Still not patched by Samsung on the JB and KK families: going full disclosure
  • Sep 22 2015 - Samsung confirmed us these vulnerabilities are patched only on the LL family

Advertisement

Asombra la parsimonia de una empresa del tama√Īo de Samsung ante un problema de seguridad de uno de sus terminales mejor vendidos.

[Quarkslab vía Softpedia]

Advertisement

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)