主题 : 谷歌Project Zero 团队谴责厂商偷懒行为
知足常乐
级别: 十方秋水

UID: 23
精华: 1
发帖: 261065
威望: 117081 点
无痕币: 2195 WHB
贡献值: 0 点
在线时间: 9388(时)
注册时间: 2007-11-24
最后登录: 2024-03-29

谷歌Project Zero 团队谴责厂商偷懒行为

11 月 29 日消息,谷歌的 Project Zero 团队的终极目标是消除世界上所有的零日漏洞,而鉴于近期爆发的 ARM GPU 漏洞,该团队在最新博文中谴责了安卓厂商的偷懒行为,甚至于谷歌自家的 Pixel 也在抨击范围内。在博文中,Project Zero 团队表示安卓厂商并没有迅速采取行动,以修复 ARM GPU 驱动漏洞。

Project Zero 团队成员麦迪・斯通 (Maddie Stone) 于今年 6 月在 Pixel 6 手机中发现了一个漏洞,这个存在于 ARM GPU 驱动中的漏洞可以让非特权用户获得对只读存储器的写入权限。

该团队的另一名成员詹恩・霍恩 (Jann Horn) 在三周后发现,在 ARM GPU 驱动中还存在其它一些相关的漏洞。这些漏洞可能允许“在应用程序中执行原生代码的攻击者 [获得] 对系统的完全访问,绕过安卓的权限模型,并允许广泛访问用户数据”。

Project Zero 团队表示在 2022 年 6-7 月向 ARM 报告了这些问题。ARM 在 7-8 月期间修复了这些问题,发布了安全公告(CVE-2022-36449)并公布了修复的源代码。

但对消费者来说,依然没有修复这些漏洞。这主要的原因是包括谷歌自身在内的各种安卓 OEM 厂商。Project Zero 团队表示,在 ARM 修复了这些漏洞几个月后,我们所有使用 Mali 的测试设备仍然容易受到这些问题的影响。CVE-2022-36449 在任何下游安全公告中都没有提到。。

受影响的 ARM GPU 设备列表很长,涉及过去三代的 ARM GPU 架构(Midgard、Bifrost 和 Valhall),范围从目前出货的设备到 2016 年的手机。高通芯片没有使用 ARM 的 GPU,但谷歌的 Tensor SoC 在 Pixel 6、6a 和 7 中使用了 ARM GPU,而三星的 Exynos SoC 在其中端手机和 Galaxy S21(只是没有 Galaxy S22)等旧的国际旗舰中使用了 ARM GPU。联发科的 SoC 也都是 ARM GPU 用户,所以我们说的是几乎每家安卓 OEM 厂商的数百万部易受攻击的安卓手机。
事能知足心常乐 人到无求品自高
级别: 十方秋水

UID: 88
精华: 0
发帖: 129690
威望: 220774 点
无痕币: 105747 WHB
贡献值: 0 点
在线时间: 51560(时)
注册时间: 2008-03-18
最后登录: 2024-03-29

了解一下。谢谢楼主分享。
级别: 七朵秋菊
UID: 302041
精华: 0
发帖: 25121
威望: 15591 点
无痕币: 15434 WHB
贡献值: 0 点
在线时间: 958(时)
注册时间: 2022-01-01
最后登录: 2024-03-28

了解一下,谢谢分享。
级别: 六行秋雁

UID: 30790
精华: 0
发帖: 1713
威望: 21903 点
无痕币: 6487 WHB
贡献值: 0 点
在线时间: 448(时)
注册时间: 2008-05-19
最后登录: 2024-02-25

感谢分享,楼主辛苦。
知足常乐
级别: 十方秋水

UID: 23
精华: 1
发帖: 261065
威望: 117081 点
无痕币: 2195 WHB
贡献值: 0 点
在线时间: 9388(时)
注册时间: 2007-11-24
最后登录: 2024-03-29

看看了解一下吧!
事能知足心常乐 人到无求品自高
Total 0.204418(s) query 4, Time now is:03-29 08:11, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛