数以百万计的 Android 设备仍然没有针对 Mali GPU 缺陷的补丁

尽管芯片制造商发布了修复程序，但 Android 设备上几个月来 Arm 的 Mali GPU 驱动程序中的一组五个中等严重的安全漏洞仍未修补。

发现并报告这些漏洞的谷歌零项目表示，Arm 在 2022 年 7 月和 2022 年 8 月解决了这些缺陷。

“这些修复还没有影响到受影响的安卓设备（包括 Pixel、三星、小米、Oppo 等），”零项目研究员 Ian Beer在一份报告中说。“配备 Mali GPU 的设备目前容易受到攻击。”

这些漏洞在标识符CVE-2022-33917（CVSS 分数：5.5）和CVE-2022-36449（CVSS 分数：6.5）下共同跟踪，涉及内存处理不当的情况，从而允许非特权用户获得访问权限释放内存。

根据 Arm 发布的公告，第二个漏洞 CVE-2022-36449 可以进一步武器化以写入缓冲区边界之外并泄露内存映射的详细信息。受影响的驱动程序列表如下 -

CVE-2022-33917

• Valhall GPU 内核驱动程序：r29p0 - r38p0 的所有版本

CVE-2022-36449

• Midgard GPU 内核驱动程序：r4p0 - r32p0 的所有版本
• Bifrost GPU 内核驱动程序：r0p0 - r38p0 和 r39p0 的所有版本
• Valhall GPU 内核驱动程序：r19p0 - r38p0 和 r39p0 的所有版本

成功利用这些漏洞可能允许攻击者获得在应用上下文中执行本机代码的权限，从而夺取对系统的控制权并绕过 Android 的权限模型以获得对用户数据的广泛访问权限。

调查结果再次强调了补丁漏洞如何使数百万台设备同时变得脆弱，并使它们面临被威胁行为者进一步利用的风险。

“正如建议用户在包含安全更新的版本可用后尽快打补丁一样，这同样适用于供应商和公司，”Beer 说。

“企业需要保持警惕，密切关注上游消息来源，尽最大努力尽快为用户提供完整的补丁。”