Google 的團隊發現了 Mali GPU 的漏洞,但是連自己都沒有補起來

dddd204 | 手機綜合區
由於沒有完美的產品,資訊產品的軟硬體三不五時就會被發現漏洞,因此廠商的更新機制也變得重要,最近 Google 的團隊就發現了 ARM Mali GPU 的漏洞,不過就連 Google 自己旗下的手機,到現在都還沒有把漏洞補起來。

unnamed (1)拷貝.png
▲ Google Pixel 7 Pro。

Project Zero 是由一群在 Google 的安全研究員組成的團隊,在 11 月 22 日於團隊的部落格揭露,他們在今年六月到七月間,在 ARM Mali GPU 的驅動中,發現了五個安全性漏洞,並向 ARM 申報,ARM 在知曉狀況之後,迅速的在七月與八月間公告,並且推出更新修補了漏洞。

受影響的 Mali GPU 型號包含 G710、G610、G510、G76、G72、G52、T800、T700,接著 Project Zero 開始持續監控製造商發出的安全性更新,發現到目前為止所有採用 ARM Mali GPU 的產品都還還沒修復漏洞,包含採用 Mali G710 的 Google Pixle 7。

五個漏洞其中一個會造成核心記憶體損毀,一個會將實體記憶體位置洩漏到應用程式可讀取的使用者空間,另外三個則與使用已釋放記憶體有關,透過漏洞有心人士將可以持續讀寫物理頁面。

不幸中的大幸是,目前 Google 已經著手測試 ARM 提供的修復檔案,Pixel 手機在接下來幾週,將會透過更新推送,而 Google 已經將這次的更新納入安全補丁級別 (SPL) 的累積要求,其他廠商的接下來的安全性更新都將修補這項漏洞。


引用來源:Project Zero