安卓廠商未能提供 Mali GPU 漏洞補丁



谷歌零計劃谷歌有限責任公司聘請的一群安全分析師發現漏洞,他們警告稱,Android 手機製造商未能為今年早些時候在 Mali 圖形處理單元中發現的多個漏洞提供補丁。

6 月和 7 月,在 Arm Ltd. 的 Mali GPU 驅動程序中發現了五個中等嚴重的安全漏洞。 這五個漏洞包括一個導致內核內存損壞的漏洞,另一個可能導致物理地址被洩露的漏洞,以及三個可能導致物理頁面釋放後使用情況的漏洞。 這五個漏洞使攻擊者能夠在物理頁面返回系統後繼續讀寫物理頁面。

正如 Project Zero 的 Ian Beer 在 11 月 22 日解釋的那樣 博文,Mali 漏洞與零日市場中可用的漏洞“相撞”,零日市場是向黑客和攻擊團體出售漏洞的黑暗網頁。

值得讚揚的是,Arm 在 7 月至 8 月期間修復了這 5 個漏洞,並將它們作為安全問題披露在其 漏洞頁面 並發布了補丁驅動程序 在他們的開發者網站上.

直到 11 月下旬,令人驚訝的是,沒有主要供應商推出補丁。 具體點名的智能手機製造商包括三星電子有限公司、小米公司、廣東歐寶移動通信有限公司和 Pixel。

Pixel 是谷歌自己的智能手機系列,這意味著谷歌的一部分在說谷歌的另一部分未能為其用戶提供重要的安全更新。 零項目研究人員也在 Pixel 6 上發現了五個漏洞中的第一個,因此谷歌在自己的一部手機上發現了一個漏洞,但幾個月後,即使有公開可用的補丁,也仍未解決該問題。

比爾認為,包括谷歌本身在內的供應商有責任為用戶提供安全更新。 “正如建議用戶在包含安全更新的版本可用後儘快打補丁一樣,這同樣適用於供應商和公司,”Beer 說。 “在這些情況下,作為供應商最小化‘補丁差距’可以說更為重要,因為最終用戶(或下游的其他供應商)在獲得補丁的安全優勢之前會阻止此操作。”

圖片:谷歌

加入我們的 Cube 俱樂部和 Cube 活動專家社區,表達您對我們使命的支持。 加入包括 Amazon Web Services 和 Amazon.com 首席執行官 Andy Jassy、Dell Technologies 創始人兼首席執行官 Michael Dell、英特爾首席執行官 Pat Gelsinger 以及更多名人和專家在內的社區。

發佈留言