吉网

谷歌和其他原始设备制造商尚未修补关键的Android安全漏洞

导读 谷歌详细介绍了包含Mali GPU的手机的关键安全漏洞,该漏洞尚未得到妥善解决。谷歌的Project Zero团队在其官方博客上发布了有关此问题的详...

谷歌详细介绍了包含Mali GPU的手机的关键安全漏洞,该漏洞尚未得到妥善解决。

谷歌的Project Zero团队在其官方博客上发布了有关此问题的详细信息,以及为什么它如此重要,以至于立即出现修复程序。关键安全问题 CVE-2022-33917 会影响包含 ARM Mali GPU 的设备。该报告列出了谷歌,三星,小米和OPPO配备Mali GPU的设备的用户面临这一未修补的关键安全漏洞的风险。

研究人员在六月到七月之间发现了五个独立的问题,其中一个涉及“内核腐败”。正如Project Zero所告知的那样,另一个问题将导致“物理内存地址被泄露给用户空间”。五个问题中的其余三个问题将“导致物理页面释放后使用条件”。

简而言之,Project Zero明确表示,这些问题将允许攻击完全访问手机系统并绕过Android设备的权限系统,以便他们可以访问更广泛的用户数据。

Project Zero 解释说,这些问题是由ARM提出的,它确实在 7 月和 8 月非常迅速地发布了一个补丁来解决这个关键问题。但是,随着进行其他测试以确定补丁的有效性,发现即使进行了假定的修复,此安全问题仍然存在。

谷歌希望缩小与公司的“补丁差距”,以发现和解决问题。最终结果将是公司创建适当的补丁并更快地将它们发送给受影响的用户,解决任何关键问题,例如当前面临的问题。

谷歌发言人已告知Engadget其解决这些问题的后续步骤,并指出:“ARM提供的修复程序目前正在针对Android和Pixel设备进行测试,并将在未来几周内交付。Android OEM合作伙伴将被要求采用补丁以符合未来的SPL要求。

Android Central已联系三星了解何时解决这些问题,但尚未及时收到消息以供发布。