安卓设备安全漏洞修复滞后

重点信息

• 多家安卓设备制造商尚未解决Arm Mali GPU驱动中的五个中度严重安全漏洞。
• Arm 已从 7 月到 8 月修复了这些问题，但谷歌的 Pixel 设备也没能推出相关补丁。
• 这些漏洞可能被攻击者利用，导致对系统内物理页面的读取和写入。
• 修复工作的滞后呼吁厂商对安全更新采取更负责任的态度。

最近的报道指出，包括三星、Oppo 和小米等主要
设备制造商在内的公司，尚未针对 Arm Mali GPU 驱动中的五个中度严重安全漏洞发布更新。尽管 Arm 已于 7 月到 8月间修复了这些问题，然而情况依然没有得到改善，相关信息来自于
的报道。

谷歌的 Pixel 设备同样未能推出针对这些 GPU 漏洞的修复补丁。根据谷歌的 Project Zero团队所做的报告，这些漏洞可能会被攻击者利用，进而读取和写入系统内的物理页面。报告指出，涉及的安全问题包括内核内存损坏漏洞、物理地址泄露漏洞，以及使用后释放（use-
after-free）错误。这些漏洞已被发现与暗网中的零日漏洞和利用工具名单发生了“冲突”。

Project Zero 的研究员 Ian Beer表示，这些发现应该促使供应商在提供安全更新方面更加负责。他补充说：“在这些情况下，作为供应商，减少‘补丁差距’尤为重要，因为最终用户（或下游的其他供应商）在获得安全补丁的好处之前，必须等待这一过程的完成。”

漏洞类型 | 描述
—|—
内核内存损坏漏洞 | 可能导致系统崩溃或远程代码执行
物理地址泄露漏洞 | 泄露内存地址信息，有助于攻击者进行追踪
使用后释放错误 | 可能导致对已经释放内存的非法访问

在当前的网络安全环境中，用户对设备安全的关注度日益提高，而设备制造商需要履行更高的安全责任，以确保用户数据的安全。