MediaTek inició la primera semana laboral completa del nuevo año revelando una serie de vulnerabilidades de seguridad, incluido un error crítico de ejecución remota de código que afecta a 51 conjuntos de chips.
El negocio de semiconductores sin fábrica le dio al RCE una evaluación de gravedad «crítica», pero no proporcionó una calificación específica después de ejecutarlo a través de los marcos CVSS, por lo que podría estar entre nueve y diez.
Registrado como CVE-2024-20154, es un problema de desbordamiento de pila en los módems de los conjuntos de chips afectados, que conduce a RCE si un dispositivo afectado se conecta a una estación base controlada por un atacante. Un ataque exitoso no requiere que el atacante adquiera privilegios adicionales ni depende de la interacción del usuario.
La lista de chipsets afectados es larga e incluye aquellos para uso en automóviles, teléfonos inteligentes, dispositivos IoT y Chromebooks.
Sin embargo, el número de versiones de software es mucho menor:
-
Módem LR12A
-
Módem LR13
-
Módem NR15
-
Módem NR16.R1.MP
-
Módem NR16.R1.MP1MP2.MP
-
Módem NR16.R2.MP
MediaTek dijo que a todos los fabricantes de dispositivos se les informó sobre los problemas y los parches que los acompañan al menos dos meses antes de la divulgación de hoy, por lo que todas las vulnerabilidades en el aviso del proveedor ya debería estar arreglado.
De esas vulnerabilidades, siete fueron evaluadas como de gravedad «alta» y cinco recibieron un estado «medio».
Los errores de alta gravedad incluyeron una combinación de problemas de RCE y elevación de privilegios, todos los cuales afectaron a múltiples conjuntos de chips, mientras que las vulnerabilidades de gravedad media provocaron denegación de servicio y divulgación de información.
La expansión reportada de MediaTek
Como afirma la lista de chipsets afectados por CVE-2024-20154, los chips de MediaTek no sólo se utilizan en dispositivos móviles y IoT (mercados en los que la empresa taiwanesa se encuentra entre los líderes), sino también en Chromebooks.
Según los informes, MediaTek también está trabajando para ingresar al mercado de chips de PC, dijeron fuentes internas. Reuters el año pasado, y se esperan sus primeras unidades diseñadas por Arm en algún momento de 2025, aunque el proveedor no ha confirmado nada públicamente.
Los recientes esfuerzos de diversificación de productos han hecho que los chips de MediaTek se dirijan al mercado AIoT. Su plataforma Genio, lanzada en 2022, es un ejemplo de ello. Pero con el acuerdo exclusivo de Windows on Arm de Qualcomm, establecido en 2016, que expira en 2024, como confirmado por el CEO de Arm, Rene Haas, hace casi un año: otros proveedores como MediaTek, Nvidia y AMD están listos para entrar en acción con sus propios chips listos para IA.
El Registro Se acercó a MediaTek para obtener una respuesta a estos informes, pero no respondió de inmediato. ®
