谷歌安全團(tuán)隊(duì)發(fā)現(xiàn)高通 Adreno GPU 驅(qū)動(dòng)超 9 個(gè)重要漏洞，OEM 已獲補(bǔ)丁推送

IT之家 8 月 12 日消息，據(jù)外媒 Wired 報(bào)道，三位谷歌安全研究人員當(dāng)?shù)貢r(shí)間本月 9 日在美國拉斯維加斯舉行的 DEF CON 32 安全會(huì)議上演示了超過 9 個(gè)高通 Adreno GPU 驅(qū)動(dòng)漏洞。

IT之家了解到，Adreno GPU 驅(qū)動(dòng)程序負(fù)責(zé)協(xié)調(diào) GPU 硬件同 Android 等操作系統(tǒng)的通信，在系統(tǒng)內(nèi)核中擁有深層權(quán)限。

而 Android 手機(jī)上的應(yīng)用程序可直接同高通 Adreno GPU 驅(qū)動(dòng)通信，不存在沙箱、額外權(quán)限檢查。攻擊者可利用研究人員發(fā)現(xiàn)的漏洞完全控制受影響設(shè)備的內(nèi)存，進(jìn)而接管整個(gè)設(shè)備。

谷歌 Android 安全紅隊(duì)經(jīng)理 Xuan Xing 表示：

與龐大的安卓生態(tài)系統(tǒng)相比，我們只是一個(gè)小團(tuán)隊(duì) —— 我們的工作范圍太大，不可能面面俱到，因此我們必須弄清楚哪些方面會(huì)產(chǎn)生最大的影響。

那么，我們?yōu)槭裁匆谶@種情況下關(guān)注 GPU 驅(qū)動(dòng)程序呢？因?yàn)?strong>不受信任的應(yīng)用程序訪問 GPU 驅(qū)動(dòng)程序不需要任何權(quán)限。這一點(diǎn)非常重要，我認(rèn)為會(huì)吸引很多攻擊者的注意。

高通發(fā)言人向外媒確認(rèn)，高通方面已于 2024 年 5 月向 OEM 廠商提供相關(guān)漏洞補(bǔ)丁，高通鼓勵(lì)終端用戶從設(shè)備制造商處獲取并應(yīng)用這些補(bǔ)丁。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。