Dos graves vulnerabilidades afectan al kernel de los Galaxy S4

La firma de seguridad QuarksLAB descubrió dos graves vulnerabilidades en febrero de 2014 y las comunicó a Samsung en agosto de 2014, aunque el gigante coreano mantuvo una actitud demasiado pasiva al respecto, ya que no reconoció ambos fallos hasta noviembre de dicho año.

Tras esa confirmación de la existencia de los errores guardaron silencio hasta que la pasada semana se hicieron públicas las investigaciones y la información más importante de ambos fallos de seguridad, tras lo cual Samsung decidió responder de nuevo, y lo hizo con una buena noticia a medias, ya que ambas vulnerabilidades sólo serán parcheadas en los Galaxy S4 que tengan Android Lollipop instalado.

¿Son tan graves estos errores? Pues sí, ya que como dijimos ambos afectan al kernel de los Galaxy S4, aunque sólo han sido identificados en los modelos I9500, los basados en SoC Exynos, por lo que las variantes con Snapdragon no tienen nada que temer.

La primera vulnerabilidad, conocida como CVE-2015-1800, permite acceder a información importante gracias a un filtrado que afecta a la memoria, mientras que la segunda vulnerabilidad, identificada como CVE-2015-1801, es un conjunto de cuatro corrupciones de memoria que permitiría a un atacante sobreescribir valores en el kernel, o llegar incluso a elevar sus privilegios.

El tema de las vulnerabilidades graves y la pasividad de las compañías responsables a la hora de resolverlas es un tema candente y de gran actualidad, y por desgracia no parece que la tendencia vaya a cambiar, al menos a corto plazo.

Más información: Softpedia.