Mecanico
Habitual
Sin verificar
Por si os interesa:
-------------------------------------------------------------------
Hispasec - una-al-día 06/11/2010
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Más de 350 fallos en el Kernel de Android
-----------------------------------------
Recientemente ha sido publicado el informe "Coverity Scan 2010 Open
Source Integrity Report"; este informe es desarrollado por la empresa
Coverity y el departamento de seguridad nacional de los EE.UU. y vienen
desarrollando esta labor desde 2006. Este informe se realiza sobre
programas de código abierto y este año le ha tocado el turno al kernel
de Android.
Este estudio ha sido realizado sobre el kernel 2.6.32 de Android
(Froyo), en concreto sobre un terminal "HTC Droid Incredible", el
estudio matiza que alguno de los fallos puede que no afecten a todas
las versiones del kernel de Android; dada la fragmentación existente en
Android. Esto es causado debido a que algunas de las piezas del sistema
dependen directamente de los fabricantes del Hardware.
Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos
han sido clasificados como de alto riesgo y 271 como riesgo medio. Para
detectar los errores se ha empleado un analizador de código estático, y
como en toda auditoría estática de código se detectaron 46 falsos
positivos durante la investigación de los posibles errores.
Como riesgo elevado se han reportado errores de corrupción de memoria,
acceso ilegal a memoria, pérdida de recursos y errores al inicializar
variables. Estos errores permiten ejecutar código arbitrario o el acceso
al GPS sin autenticación, entre otros posibles impactos.
Entre los problemas de riesgo medio encontramos errores de
implementación de API, errores en el control de flujo, en los
manejadores o referencias a punteros a nulos. Estos fallos causan una
denegación de servicio haciendo que el terminal se quede bloqueado.
Los componentes donde se han encontrado los fallos han sido, por número
de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch
entre otros. Destacar que la mayoría de fallos críticos se encuentran el
las especificaciones de Android.
Los detalles de cada vulnerabilidad no han sido publicados, dado el
impacto de estos y serán publicadas cuando estén disponibles los
parches. Alguno de estos fallos puede que afecte a versiones inferiores
de Android.
Opina sobre esta noticia:
Más información:
Coverity Release:
https://www.synopsys.com/software-integrity.html
Victor Antonio Torre
-------------------------------------------------------------------
Hispasec - una-al-día 06/11/2010
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Más de 350 fallos en el Kernel de Android
-----------------------------------------
Recientemente ha sido publicado el informe "Coverity Scan 2010 Open
Source Integrity Report"; este informe es desarrollado por la empresa
Coverity y el departamento de seguridad nacional de los EE.UU. y vienen
desarrollando esta labor desde 2006. Este informe se realiza sobre
programas de código abierto y este año le ha tocado el turno al kernel
de Android.
Este estudio ha sido realizado sobre el kernel 2.6.32 de Android
(Froyo), en concreto sobre un terminal "HTC Droid Incredible", el
estudio matiza que alguno de los fallos puede que no afecten a todas
las versiones del kernel de Android; dada la fragmentación existente en
Android. Esto es causado debido a que algunas de las piezas del sistema
dependen directamente de los fabricantes del Hardware.
Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos
han sido clasificados como de alto riesgo y 271 como riesgo medio. Para
detectar los errores se ha empleado un analizador de código estático, y
como en toda auditoría estática de código se detectaron 46 falsos
positivos durante la investigación de los posibles errores.
Como riesgo elevado se han reportado errores de corrupción de memoria,
acceso ilegal a memoria, pérdida de recursos y errores al inicializar
variables. Estos errores permiten ejecutar código arbitrario o el acceso
al GPS sin autenticación, entre otros posibles impactos.
Entre los problemas de riesgo medio encontramos errores de
implementación de API, errores en el control de flujo, en los
manejadores o referencias a punteros a nulos. Estos fallos causan una
denegación de servicio haciendo que el terminal se quede bloqueado.
Los componentes donde se han encontrado los fallos han sido, por número
de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch
entre otros. Destacar que la mayoría de fallos críticos se encuentran el
las especificaciones de Android.
Los detalles de cada vulnerabilidad no han sido publicados, dado el
impacto de estos y serán publicadas cuando estén disponibles los
parches. Alguno de estos fallos puede que afecte a versiones inferiores
de Android.
Opina sobre esta noticia:
Más información:
Coverity Release:
https://www.synopsys.com/software-integrity.html
Victor Antonio Torre
