Google 的團隊發現了 Mali GPU 的漏洞，但是連自己都沒有補起來

由於沒有完美的產品，資訊產品的軟硬體三不五時就會被發現漏洞，因此廠商的更新機制也變得重要，最近 Google 的團隊就發現了 ARM Mali GPU 的漏洞，不過就連 Google 自己旗下的手機，到現在都還沒有把漏洞補起來。

▲ Google Pixel 7 Pro。
Project Zero 是由一群在 Google 的安全研究員組成的團隊，在 11 月 22 日於團隊的部落格揭露，他們在今年六月到七月間，在 ARM Mali GPU 的驅動中，發現了五個安全性漏洞，並向 ARM 申報，ARM 在知曉狀況之後，迅速的在七月與八月間公告，並且推出更新修補了漏洞。
受影響的 Mali GPU 型號包含 G710、G610、G510、G76、G72、G52、T800、T700，接著 Project Zero 開始持續監控製造商發出的安全性更新，發現到目前為止所有採用 ARM Mali GPU 的產品都還還沒修復漏洞，包含採用 Mali G710 的 Google Pixle 7。
五個漏洞其中一個會造成核心記憶體損毀，一個會將實體記憶體位置洩漏到應用程式可讀取的使用者空間，另外三個則與使用已釋放記憶體有關，透過漏洞有心人士將可以持續讀寫物理頁面。
不幸中的大幸是，目前 Google 已經著手測試 ARM 提供的修復檔案，Pixel 手機在接下來幾週，將會透過更新推送，而 Google 已經將這次的更新納入安全補丁級別 (SPL) 的累積要求，其他廠商的接下來的安全性更新都將修補這項漏洞。
引用來源：Project Zero