谷歌Project Zero團隊的終極目標是消除世界上所有的零日漏洞
原標題:ARM GPU 漏洞暴露安卓升級困局,谷歌 Project Zero 團隊譴責廠商偷懶行為
11 月 29 日消息:谷歌的 Project Zero 團隊的終極目標是消除世界上所有的零日漏洞,而鑒于近期爆發的 ARM GPU 漏洞,該團隊在最新博文中譴責了安卓廠商的偷懶行為,甚至于谷歌自家的 Pixel 也在抨擊范圍內。在博文中,Project Zero 團隊表示安卓廠商并沒有迅速采取行動,以修復 ARM GPU 驅動漏洞。
圖片來源 Pexels
Project Zero 團隊成員麥迪?斯通 (Maddie Stone) 于今年 6 月在 Pixel 6 手機中發現了一個漏洞,這個存在于 ARM GPU 驅動中的漏洞可以讓非特權用戶獲得對只讀存儲器的寫入權限。
該團隊的另一名成員詹恩?霍恩 (Jann Horn) 在三周后發現,在 ARM GPU 驅動中還存在其它一些相關的漏洞。這些漏洞可能允許“在應用程序中執行原生代碼的攻擊者 [獲得] 對系統的完全訪問,繞過安卓的權限模型,并允許廣泛訪問用戶數據”。
Project Zero 團隊表示在 2022 年 6-7 月向 ARM 報告了這些問題。ARM 在 7-8 月期間修復了這些問題,發布了安全公告(CVE-2022-36449)并公布了修復的源代碼。
但對消費者來說,依然沒有修復這些漏洞。這主要的原因是包括谷歌自身在內的各種安卓 OEM 廠商。Project Zero 團隊表示,在 ARM 修復了這些漏洞幾個月后,我們所有使用 Mali 的測試設備仍然容易受到這些問題的影響。CVE-2022-36449 在任何下游安全公告中都沒有提到。。
IT之家了解到,受影響的 ARM GPU 設備列表很長,涉及過去三代的 ARM GPU 架構(Midgard、Bifrost 和 Valhall),范圍從目前出貨的設備到 2016 年的手機。高通芯片沒有使用 ARM 的 GPU,但谷歌的 Tensor SoC 在 Pixel 6、6a 和 7 中使用了 ARM GPU,而三星的 Exynos SoC 在其中端手機和 Galaxy S21(只是沒有 Galaxy S22)等舊的國際旗艦中使用了 ARM GPU。聯發科的 SoC 也都是 ARM GPU 用戶,所以我們說的是幾乎每家安卓 OEM 廠商的數百萬部易受攻擊的安卓手機。
來源:IT之家
IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現在牛的不只是設備商了,,華為的手機現在也是全球銷量不錯,國內也算是老大了,之前用小米,,現在都改華為了。。產品確實不錯。- 小何三星手機在中國還有市場嗎?看看現在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現在也沒有之前那么火了,,補貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。