Google Project Zero团队本周披露,Arm于今年夏天修补了旗下Mali GPU核心驱动程序的两个安全漏洞CVE-2022-33917与CVE-2022-36449,但直至漏洞细节与示范程序代码都被公开,手机制造商仍未修补相关漏洞,让众多采用Mali GPU的Android手机曝险,涵盖Pixel、三星、小米与Oppo等。
根据Arm的开发者驱动程序安全更新网站,CVE-2022-33917允许非特权用户执行不适当的GPU处理操作,以访问已释放的内存,影响r29p0~r38p0的Valhall GPU核心驱动程序。
CVE-2022-36449同样允许非特权用户执行不适当的GPU处理操作,访问已释放的内存,在缓冲区边界之外写入资料,或是披露内存映射的细节,波及Midgard GPU r4p0~r32p0、Bifrost GPU r0p0~r38p0与r39p0以及Valhall GPU r19p0~r38p0与r39p0等核心驱动程序。
整体而言,上述安全漏洞将允许黑客绕过Android的权限保护,取得系统权限并访问用户资料。
Project Zero团队则曾在今年6月至7月间,提交了5个涉及CVE-2022-36449漏洞的问题给Arm,Arm也陆续于在今年7月及8月完成修补。根据Project Zero的漏洞披露政策,该团队会在企业修补漏洞的30天后公开漏洞的技术细节,同时进行设备测试,以检查企业所发布修补程序的有效性。
但Project Zero团队却发现,就在Arm已完成修补、漏洞细节已被公布之后,他们所测试的Android设备却依然含有CVE-2022-36449与CVE-2022-33917漏洞。
该团队呼吁,当大家都在鼓励用户尽快更新安全漏洞之际,制造商及企业也应该遵循同样的标准,尽可能地缩小“修补空窗”(Patch Gap),跟上供应商的修补脚步,毕竟当上游不修补时,等于是阻碍了下游或用户的修补行动。