Google Project Zero 呼吁 Android 加快修復漏洞

Google Project Zero 安全團隊想要消滅 0day，它采用的一種方法是公開督促企業加快修復漏洞，其中包括 Google 自己。在最新的官方博客中，它批評了 Android 和 Pixel 團隊。今年 6 月，Project Zero 研究員 Maddie Stone 報告了一個位于 ARM GPU 驅動中正被利用的提權漏洞，另一位研究員 Jann Horn 接下來三周在驅動中發現了多個相關漏洞，這些漏洞允許攻擊者獲得系統的完整訪問權限，繞過 Android 的權限模型。他們向 ARM 報告了漏洞，ARM 在 7 月和 8 月修復了漏洞并公布相關源代碼，然而 Android 至今沒有給用戶打上補丁。這一次掉鏈子的是 Google 和 Android OEM。高通使用了自己的 GPU，但 Google 的 Tensor SoC 使用了 ARM GPU，三星和聯發科也都使用了 ARM GPU，這意味著受影響的設備數量多達數百萬部。Google 接受采訪時表示它正在測試補丁，將會在未來幾周釋出。