谷歌Project Zero團(tuán)隊的終極目標(biāo)是消除世界上所有的零日漏洞
原標(biāo)題:ARM GPU 漏洞暴露安卓升級困局,谷歌 Project Zero 團(tuán)隊譴責(zé)廠商偷懶行為
11 月 29 日消息:谷歌的 Project Zero 團(tuán)隊的終極目標(biāo)是消除世界上所有的零日漏洞,而鑒于近期爆發(fā)的 ARM GPU 漏洞,該團(tuán)隊在最新博文中譴責(zé)了安卓廠商的偷懶行為,甚至于谷歌自家的 Pixel 也在抨擊范圍內(nèi)。在博文中,Project Zero 團(tuán)隊表示安卓廠商并沒有迅速采取行動,以修復(fù) ARM GPU 驅(qū)動漏洞。
圖片來源 Pexels
Project Zero 團(tuán)隊成員麥迪?斯通 (Maddie Stone) 于今年 6 月在 Pixel 6 手機(jī)中發(fā)現(xiàn)了一個漏洞,這個存在于 ARM GPU 驅(qū)動中的漏洞可以讓非特權(quán)用戶獲得對只讀存儲器的寫入權(quán)限。
該團(tuán)隊的另一名成員詹恩?霍恩 (Jann Horn) 在三周后發(fā)現(xiàn),在 ARM GPU 驅(qū)動中還存在其它一些相關(guān)的漏洞。這些漏洞可能允許“在應(yīng)用程序中執(zhí)行原生代碼的攻擊者 [獲得] 對系統(tǒng)的完全訪問,繞過安卓的權(quán)限模型,并允許廣泛訪問用戶數(shù)據(jù)”。
Project Zero 團(tuán)隊表示在 2022 年 6-7 月向 ARM 報告了這些問題。ARM 在 7-8 月期間修復(fù)了這些問題,發(fā)布了安全公告(CVE-2022-36449)并公布了修復(fù)的源代碼。
但對消費(fèi)者來說,依然沒有修復(fù)這些漏洞。這主要的原因是包括谷歌自身在內(nèi)的各種安卓 OEM 廠商。Project Zero 團(tuán)隊表示,在 ARM 修復(fù)了這些漏洞幾個月后,我們所有使用 Mali 的測試設(shè)備仍然容易受到這些問題的影響。CVE-2022-36449 在任何下游安全公告中都沒有提到。。
IT之家了解到,受影響的 ARM GPU 設(shè)備列表很長,涉及過去三代的 ARM GPU 架構(gòu)(Midgard、Bifrost 和 Valhall),范圍從目前出貨的設(shè)備到 2016 年的手機(jī)。高通芯片沒有使用 ARM 的 GPU,但谷歌的 Tensor SoC 在 Pixel 6、6a 和 7 中使用了 ARM GPU,而三星的 Exynos SoC 在其中端手機(jī)和 Galaxy S21(只是沒有 Galaxy S22)等舊的國際旗艦中使用了 ARM GPU。聯(lián)發(fā)科的 SoC 也都是 ARM GPU 用戶,所以我們說的是幾乎每家安卓 OEM 廠商的數(shù)百萬部易受攻擊的安卓手機(jī)。
來源:IT之家
IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有,未經(jīng)授權(quán),轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年,直通硅谷,專注于TMT領(lǐng)域早期項(xiàng)目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨(dú)特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點(diǎn)。
熱門文章
精彩評論
小何華為現(xiàn)在牛的不只是設(shè)備商了,,華為的手機(jī)現(xiàn)在也是全球銷量不錯,國內(nèi)也算是老大了,之前用小米,,現(xiàn)在都改華為了。。產(chǎn)品確實(shí)不錯。- 小何三星手機(jī)在中國還有市場嗎?看看現(xiàn)在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現(xiàn)在也沒有之前那么火了,,補(bǔ)貼也少了。。
來自: 【人物】滴滴創(chuàng)始人程維回顧與Uber競爭:中國互聯(lián)網(wǎng)從來沒有輸過--IT時代網(wǎng)
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。
來自: 少年頭條對壘中年騰訊:解局兩代互聯(lián)網(wǎng)公司商業(yè)之戰(zhàn)--IT時代網(wǎng)