На этой неделе Project Zero от Google осветил «пробел» в процессе выпуска исправлений безопасности и доставки их затронутым пользователям, а также выяснил, что миллионы телефонов Android подвержены активной уязвимости безопасности.
Конкретная проблема, на которую Project Zero от Google обращает внимание на этой неделе, — это уязвимость безопасности, известная как CVE-2022-33917. Это уязвимость, затрагивающая устройства, использующие Mali GPU от Arm, что означает, что она затрагивает Google Pixel, Samsung Galaxy и множество других Android-смартфонов.
В случае эксплуатации она позволила бы злоумышленнику «читать и записывать физические страницы после их возвращения в систему», потенциально получая «широкий доступ» к данным пользователя.
Arm, по-видимому, устранила эти проблемы для своих Mali GPU некоторое время назад, после того как они были впервые обнаружены в июне и июле. Но через несколько месяцев Project Zero обнаружил, что многие Android-устройства от Samsung, Oppo, Xiaomi и даже собственная линейка Google Pixel еще не внесли эти исправления, оставляя уязвимость открытой.
Мы сообщили об этих пяти проблемах в ARM, когда они были обнаружены в период с июня по июль 2022 года. ARM оперативно устранила проблемы в июле и августе 2022 года, раскрыв их как проблемы безопасности на своей странице уязвимостей драйверов Arm Mali (присвоив CVE-2022-36449) и опубликовав исправленный исходный код драйвера на своем общедоступном веб-сайте для разработчиков.
…мы обнаружили, что все наши тестовые устройства с Mali по-прежнему уязвимы к этим проблемам. CVE-2022-36449 не упоминается ни в каких последующих бюллетенях безопасности.
Стоит отметить, что это не относится к устройствам, использующим чипы Qualcomm Snapdragon, поскольку они не используют Mali GPU от Arm. Однако устройства с чипами MediaTek, Samsung Exynos, а также Google Tensor затронуты.
Обновление 27.11: В заявлении команд Android и Pixel Google сообщает, что исправление для этой уязвимости в настоящее время проходит тестирование и будет доставлено в «ближайшие недели». Исправление также потребуется для партнеров Android.
Исправление, предоставленное Arm, в настоящее время проходит тестирование для устройств Android и Pixel и будет доставлено в ближайшие недели. Производители устройств Android (OEM-партнеры) должны будут принять это исправление для соблюдения будущих требований SPL.