Producenci Androida nie dostarczają łatek na luki w GPU Mali

Producenci Androida nie dostarczają łatek na luki w GPU Mali

Google Project Zerogrupa analityków bezpieczeństwa, którzy pracują dla Google LLC w celu znalezienia luk w zabezpieczeniach, ostrzegają, że producenci telefonów z Androidem nie dostarczyli poprawek dla kilku luk wykrytych na początku tego roku w GPU Mali.

W finansowym sterowniku GPU firmy Arm Ltd. wykryto pięć luk w zabezpieczeniach o średniej wadze. W czerwcu-lipcu. Pięć luk obejmuje jedną, która powoduje uszkodzenie pamięci jądra, inne luki, które mogą ujawnić adresy fizyczne, oraz trzy, które mogą zagrozić fizycznemu stanowi strony do późniejszego wykorzystania. Pięć luk umożliwiłoby osobie atakującej dalsze odczytywanie i zapisywanie fizycznych stron po ich zwróceniu do systemu.

Jak wyjaśnił Ian Beer z Project Zero 22 listopada post na bloguMalijskie luki „zderzyły się” z lukami dostępnymi na rynkach o sumie zerowej, ciemnych stronach internetowych sprzedających luki hakerom i grupom atakującym.

Trzeba przyznać, że Arm naprawił pięć luk w zabezpieczeniach między lipcem a sierpniem, ujawniając je jako problemy z bezpieczeństwem na swoim urządzeniu Strona słabych stron Publikowane są poprawione sterowniki na ich stronie deweloperskiej.

Od teraz do końca listopada, co zaskakujące, żaden z głównych dostawców nie wprowadzał poprawek. Wśród wyszczególnionych producentów smartfonów są Samsung Electronics Co. Ltd, Xiaomi Inc. oraz Guangdong Oppo Mobile Telecommunications Corp. Sp. z o.o. i Pixela.

Pixel to własna linia smartfonów Google, co oznacza, że ​​jedna część Google twierdzi, że inna część Google nie zapewniła użytkownikom ważnych aktualizacji zabezpieczeń. Pierwsza z pięciu luk została również wykryta w Pixelu 6 przez badacza z Project Zero, więc Google znalazł lukę w jednym ze swoich telefonów, jednak kilka miesięcy później, nawet z publicznie dostępną łatką, nadal nie została usunięta problem.

Bear twierdzi, że dostawcy, w tym sam Google, mają obowiązek dostarczania użytkownikom aktualizacji zabezpieczeń. „Tak jak użytkownikom zaleca się jak najszybsze zainstalowanie łatek, gdy tylko wersja zawierająca aktualizacje zabezpieczeń stanie się dostępna, to samo dotyczy dostawców i firm” — powiedział Beer. „Prawdopodobnie zmniejszenie„ luki w łatce ”jako zasobu w tych scenariuszach jest jeszcze ważniejsze, ponieważ użytkownicy końcowi (lub inni dostawcy) blokują to działanie, zanim będą mogli uzyskać korzyści bezpieczeństwa wynikające z łatki”.

Obraz: Google

Pokaż swoje wsparcie dla naszej misji, dołączając do społeczności ekspertów Cube Club i Cube Event. Dołącz do społeczności, do której należą Amazon Web Services i dyrektor generalny Amazon.com Andy Jassy, ​​założyciel i dyrektor generalny Dell Technologies Michael Dell, dyrektor generalny Intel Pat Gelsinger oraz wielu innych dygnitarzy i ekspertów.

Halsey Andrews

„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.

Rekomendowane artykuły

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *