Google Project Zero團隊本周披露,Arm於今年夏天修補了旗下Mali GPU核心驅動程式的兩個安全漏洞CVE-2022-33917與CVE-2022-36449,但直至漏洞細節與示範程式碼都被公開,手機製造商仍未修補相關漏洞,讓眾多採用Mali GPU的Android手機曝險,涵蓋Pixel、三星、小米與Oppo等。
根據Arm的開發者驅動程式安全更新網站,CVE-2022-33917允許非特權用戶執行不適當的GPU處理操作,以存取已釋放的記憶體,影響r29p0~r38p0的Valhall GPU核心驅動程式。
CVE-2022-36449同樣允許非特權用戶執行不適當的GPU處理操作,存取已釋放的記憶體,在緩衝區邊界之外寫入資料,或是揭露記憶體映射的細節,波及Midgard GPU r4p0~r32p0、Bifrost GPU r0p0~r38p0與r39p0以及Valhall GPU r19p0~r38p0與r39p0等核心驅動程式。
整體而言,上述安全漏洞將允許駭客繞過Android的權限保護,取得系統權限並存取使用者資料。
Project Zero團隊則曾在今年6月至7月間,提交了5個涉及CVE-2022-36449漏洞的問題予Arm,Arm也陸續於在今年7月及8月完成修補。根據Project Zero的漏洞揭露政策,該團隊會在業者修補漏洞的30天後公開漏洞的技術細節,同時進行裝置測試,以檢查業者所釋出修補程式的有效性。
但Project Zero團隊卻發現,就在Arm已完成修補、漏洞細節已被公布之後,他們所測試的Android裝置卻依然含有CVE-2022-36449與CVE-2022-33917漏洞。
該團隊呼籲,當大家都在鼓勵使用者儘快更新安全漏洞之際,製造商及企業也應該遵循同樣的標準,儘可能地縮小「修補空窗」(Patch Gap),跟上供應商的修補腳步,畢竟當上游不修補時,等於是阻礙了下游或使用者的修補行動。
熱門新聞
2024-12-24
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-23