Recientemente se ha publicado el informe "Coverity Scan 2010 Open Source Integrity Report"; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. Este informe se realiza sobre programas de código abierto y este año le tocó el turno al kernel de Android.
Este estudio se realizó sobre el kernel 2.6.32 de Android, en concreto sobre un terminal "HTC Droid Incredible", el estudio matiza que alguna de las fallas puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.
Se descubrieron 359 fallas de seguridad, 88 de ellas se han clasificado como de alto riesgo y 271 como riesgo medio. Para detectar los errores se utilizó un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.
Como riesgo elevado se reportaron errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Dichos errores permiten ejecutar código arbitrario o el acceso al GPS sin autenticación, entre otros posibles impactos.
Con respecto a los problemas de riesgo medio encontraron errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estas fallas causan una denegación de servicio haciendo que el terminal se quede bloqueado.
Los componentes donde se han encontrado las fallas han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallas críticas se encuentran el las especificaciones de Android.
Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de éstas y serán publicadas cuando estén disponibles los parches.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4396
No hay comentarios:
Publicar un comentario