Компания Samsung не выпустила и не планирует выпускать обновление для устранения критической уязвимости в старых смартфонах Galaxy S4, владельцы которых не обновили прошивку до Lollipop. Об этом сообщает CNews со ссылкой на исследование компании QuarksLAB.
Как уточняется, Samsung не стала выпускать обновления прошивок для Samsung Galaxy S4 (I9500) на базе Android Jelly Bean и Android KitKat, ограничившись лишь обновлением для аппаратов под управлением Android Lollipop.
По словам сотрудника QuarksLAB Джонатана Сальвана, Samsung была уведомлена о наличии двух уязвимостей в августе 2014 года. У компании ушло три месяца на выпуск заплатки, а ответила она на письмо QuarksLAB лишь в ноябре 2014 года, когда QuarksLAB опубликовала сведения об уязвимости в открытом доступе.
Обе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c - им присвоены номера CVE-2015-1800 и CVE-2015-1801 - и позволяют злоумышленнику манипулировать оперативной памятью устройства, взламывать защиту Address Space Layout Randomization (ASLR) и получать доступ к данным.
Почему Samsung решила не выпускать патч для Jelly Bean, в компании не уточнили.
Samsung Galaxy S4 - это флагман 2013 года. Он был выпущен в продажу с ОС Android Jelly Bean. Впоследствии были выпущены обновления до KitKat и Lollipop.