訪問原網址
IT之家11月29日消息,谷歌的ProjectZero團隊的終極目標是消除世界上所有的零日漏洞,而鑒於近期爆發的ARMGPU漏洞,該團隊在最新博文中譴責了安卓廠商的偷懶行為,甚至於谷歌自家的Pixel也在抨擊範圍內。在博文中,ProjectZero團隊表示安卓廠商並沒有迅速採取行動,以修復ARMGPU驅動漏洞。
ProjectZero團隊成員麥迪・斯通(MaddieStone)於今年6月在Pixel6手機中發現了一個漏洞,這個存在於ARMGPU驅動中的漏洞可以讓非特權用戶獲得對只讀存儲器的寫入權限。
該團隊的另一名成員詹恩・霍恩(JannHorn)在三周后發現,在ARMGPU驅動中還存在其它一些相關的漏洞。這些漏洞可能允許“在應用程序中執行原生代碼的攻擊者[獲得]對系統的完全訪問,繞過安卓的權限模型,並允許廣泛訪問用戶數據”。
ProjectZero團隊表示在2022年6-7月向ARM報告了這些問題。ARM在7-8月期間修復了這些問題,發布了安全公告(CVE-2022-36449)並公布了修復的源代碼。
但對消費者來說,依然沒有修復這些漏洞。這主要的原因是包括谷歌自身在內的各種安卓OEM廠商。ProjectZero團隊表示,在ARM修復了這些漏洞幾個月後,我們所有使用Mali的測試設備仍然容易受到這些問題的影響。CVE-2022-36449在任何下游安全公告中都沒有提到。。
IT之家了解到,受影響的ARMGPU設備列表很長,涉及過去三代的ARMGPU架構(Midgard、Bifrost和Valhall),範圍從目前出貨的設備到2016年的手機。高通芯片沒有使用ARM的GPU,但谷歌的TensorSoC在Pixel6、6a和7中使用了ARMGPU,而三星的ExynosSoC在其中端手機和GalaxyS21(只是沒有GalaxyS22)等舊的國際旗艦中使用了ARMGPU。聯發科的SoC也都是ARMGPU用戶,所以我們說的是幾乎每家安卓OEM廠商的數百萬部易受攻擊的安卓手機。
媒體報道
- IT 之家 搜狐 新浪科技
相關事件
- ARM GPU漏洞暴露安卓升級困局,谷歌Project Zero團隊譴責廠商偷懶行為 2022-11-29
- 蘋果 iOS 15.0.1 正式版發布,仍有 3 個零日漏洞未修補 2021-10-02
- 微軟發布Windows DNS重大安全漏洞,已存在17年之久 2020-07-14
- 谷歌發現Win10 5月更新重大漏洞,微軟回應已修復 2020-04-27
- 微軟準備修復IE9、10和11漏洞:可導致黑客獲取用戶權限 2020-01-18