谷歌报告称其他OEM尚未修补已知的安全漏洞

姜忠中
导读 几天前,谷歌发现了使用ARM Mali GPU的手机的新安全漏洞。从本质上讲,谷歌的Project Zero团队在所有智能手机中发现了一个严重的内核相

几天前,谷歌发现了使用ARM Mali GPU的手机的新安全漏洞。从本质上讲,谷歌的Project Zero团队在所有智能手机中发现了一个严重的内核相关缺陷,包括使用Mali GPU的联发科和Exynos。据称,GPU制造商ARM被该品牌告知了该问题,随后修补了安全漏洞。但是,包括Google本身在内的其他Android OEM尚未针对此问题发布任何安全修复程序。

Project Zero团队的研究发现了大约五个不同的缺陷,并将其提交给ARM进行。Project Zero的Ian Beer在一篇博客文章中表示,“其中一个缺陷导致内核内存损坏,一个导致物理内存地址泄露到用户空间,其余三个缺陷导致物理页面释放后使用的情况。这将使攻击者能够读取和写入物理页面,即使在系统收到它们之后也是如此。

在ARM纠正这些问题三个月后,Project Zero发现团队的所有测试设备仍然容易出现缺陷。截至周二,Android制造商的“下游安全公告”都没有承认这些问题。比尔指出,如果黑客能够绕过Android的权限政策,并“广泛访问”用户的数据,那么他们就很容易控制整个系统。通过使内核使用上述物理页作为页表,攻击者可能会这样做。

谷歌的一位代表告诉Engadget,“ARM发布的修复程序目前正在针对Android和Pixel设备进行测试,并将在未来几周内交付。为了满足未来的SPL要求,“Android OEM合作伙伴将有义务接受补丁。无论如何,值得一提的是,由高通骁龙芯片组提供支持的设备不受此漏洞的影响。

标签:

版权声明:本文由用户上传,如有侵权请联系删除!