Google Project Zero 呼吁 Android 加快修复漏洞

Google Project Zero 安全团队想要消灭 0day，它采用的一种方法是公开督促企业加快修复漏洞，其中包括 Google 自己。在最新的官方博客中，它批评了 Android 和 Pixel 团队。今年 6 月，Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞，另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞，这些漏洞允许攻击者获得系统的完整访问权限，绕过 Android 的权限模型。他们向 ARM 报告了漏洞，ARM 在 7 月和 8 月修复了漏洞并公布相关源代码，然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU，但 Google 的 Tensor SoC 使用了 ARM GPU，三星和联发科也都使用了 ARM GPU，这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁，将会在未来几周释出。