IT之家11月29日消息，漏洞懒行谷歌的暴露ProjectZero团队的终极目标是消除世界上所有的零日漏洞，而鉴于近期爆发的安卓ARMGPU漏洞，该团队在最新博文中谴责了安卓厂商的升级商偷偷懒行为，甚至于谷歌自家的困局Pixel也在抨击范围内。在博文中，谷歌ProjectZero团队表示安卓厂商并没有迅速采取行动，队谴以修复ARMGPU驱动漏洞。责厂

ProjectZero团队成员麦迪・斯通（MaddieStone）于今年6月在Pixel6手机中发现了一个漏洞，漏洞懒行这个存在于ARMGPU驱动中的暴露漏洞可以让非特权用户获得对只读存储器的写入权限。

该团队的安卓另一名成员詹恩・霍恩（JannHorn）在三周后发现，在ARMGPU驱动中还存在其它一些相关的升级商偷漏洞。这些漏洞可能允许“在应用程序中执行原生代码的困局攻击者[获得]对系统的完全访问，绕过安卓的谷歌权限模型，并允许广泛访问用户数据”。队谴

ProjectZero团队表示在2022年6-7月向ARM报告了这些问题。ARM在7-8月期间修复了这些问题，发布了安全公告（CVE-2022-36449）并公布了修复的源代码。

但对消费者来说，依然没有修复这些漏洞。这主要的原因是包括谷歌自身在内的各种安卓OEM厂商。ProjectZero团队表示，在ARM修复了这些漏洞几个月后，我们所有使用Mali的测试设备仍然容易受到这些问题的影响。CVE-2022-36449在任何下游安全公告中都没有提到。。

IT之家了解到，受影响的ARMGPU设备列表很长，涉及过去三代的ARMGPU架构（Midgard、Bifrost和Valhall），范围从目前出货的设备到2016年的手机。高通芯片没有使用ARM的GPU，但谷歌的TensorSoC在Pixel6、6a和7中使用了ARMGPU，而三星的ExynosSoC在其中端手机和GalaxyS21（只是没有GalaxyS22）等旧的国际旗舰中使用了ARMGPU。联发科的SoC也都是ARMGPU用户，所以我们说的是几乎每家安卓OEM厂商的数百万部易受攻击的安卓手机。

• ·北交所董事长周贵华：六大战略践行中国特色现代资本市场普惠金融之路
• ·发改委出手：万亿赛道大爆发！海外狂跌，中国科创50逆市飘红！涉嫌欺诈？特朗普被起诉
• ·【育儿问答】断奶时涨奶该怎么处理？
• ·能源危机扑面而来：冬季液化天然气或供不应求 欧洲制造业外流加剧
• ·热威电热实控人家族IPO前分红3.3亿元 新产品量产当年产能利用率超200%
• ·iQOO Neo7下月发：唯一天玑9000+中端机
• ·永辉超市北京两分公司同日被罚 今年在北京市场已8次因质量问题被罚
• ·广发期货铜日评：美联储加息75bp，未来鹰派加息预期提升，承压运行
• ·中保投资党委副书记、总裁贾飙：支持“专精特新”企业发展 保险资金监管政策还有进一步优化调整空间
• ·国家发改委：我国能源绿色低碳转型成效显著
• ·OPPO的10大创新“黑科技”，你都知道哪一个？
• ·承销商狂打价格战 债券承销费跌至“地板价”
• ·超级大冷！阿根廷被沙特2-1逆转！
• ·新能源汽车产业 既要求规模也要讲实效
• ·应急管理部赴北京督导调研危化品重大危险源企业安全风险防范工作
• ·江淮iEV6E电池故障频发 高温无法充电