奇客 Google Project Zero 呼吁 Android 加快修复漏洞
「星期二」
Hello Tuesday
Google Project Zero 呼吁 Android 加快修复漏洞
Google Project Zero 安全团队想要消灭 0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括 Google 自己。在最新的官方博客中,它批评了 Android 和 Pixel 团队。今年 6 月,Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞,另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过 Android 的权限模型。他们向 ARM 报告了漏洞,ARM 在 7 月和 8 月修复了漏洞并公布相关源代码,然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU,但 Google 的 Tensor SoC 使用了 ARM GPU,三星和联发科也都使用了 ARM GPU,这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁,将会在未来几周释出。