-
Google Project Zero(GPZ)は夏に、多くの「Android」デバイスに存在している複数の深刻な脆弱性を発見した。その報告を受けたArmが修正パッチをリリースしたにもかかわらず、それがAndroidデバイスユーザーに届けられていない状態が続いているという。
パッチがユーザーに配信されていないという問題の影響を受けるのは、Armの「Mali」GPUを搭載しているAndroidデバイスだ。GPZのリサーチャーであるIan Beer氏が指摘しているように、Googleの「Pixel」ですら、サムスンや小米科技(シャオミ)、OPPOなどのデバイスと同様に脆弱性を抱えている。
同氏は、常日頃からコンシューマーが聞かされていること、つまり、できる限り早急にデバイスへのパッチを適用するということを、Androidデバイスの大手ベンダー全てにも実践するよう促している。数カ月前にMali GPUドライバーに対する修正パッチがArmからリリースされているにもかかわらず、現時点で自社製品に対する修正をリリースしたベンダーは1社もない状況であり、ユーザーはパッチを適用できない状態だ。
Beer氏が同社ブログに記したところによると、同じくリサーチャーのJann Horn氏はMali GPUドライバー内に悪用可能な5つの脆弱性を発見し、GPZが2325と2327、2331、2333、2334のイシューとして追跡しているという。なお、これらの脆弱性は6~7月の時点でArmに報告済みだという。
Armは7~8月にかけてこれらの問題を修正し、共通脆弱性識別子「CVE-2022-36449」を取得した上でMaliドライバーの脆弱性ページで公表するとともに、同社が開発者向けに公開しているウェブサイトで、パッチを適用したドライバーのソースコードも公開している。また、「CVE-2022-33917」として追跡されている、Mali GPUの別の脆弱性も修正されている。Beer氏は、Androidデバイスのベンダー各社による「パッチの遅れ」に関するレポートで、これら双方の脆弱性について言及している。
ベンダー各社は数カ月前からパッチをリリースできるだけの情報を入手していたことになる。にもかかわらず、GPZが最近調査したところによると、大手ベンダー全社が、これらのパッチをリリースしていなかった。
GPZは独自のポリシーに基づき、公開を控えていた5つのレポートの一般アクセスを可能にした。
つまり望めば誰もが必要な情報の大半を入手し、最新のAndroidスマホに影響を与えるこの脆弱性を突くエクスプロイトを作成できるようになるのだ。
-
Google Pixelもw
-
部署間の連携がなってない
-
Googleも該当するんかい
-
やっぱファーウェイこそ大正義
2chMate 0.8.10.157 dev/HUAWEI/CDY-NX9A/10/LR -
今準備してるところだから
-
Googleさん…?
-
rn9sエジプト人になるとandroid12が降りてくるらしいが日本人だと全然来ない
-
自社も該当することによって黙らす
-
やっぱり選ぶならiPhone
-
脆弱性なんて問題起きない限り無いのと同じだし
そもそも利益薄いのに
金が掛かっても儲かる訳では無いからどこもやりたがらない
それがAndroidメーカーのホンネ -
Googleさんが一番ヤバいやん
(´・ω・`) -
iPhone買えってことか
-
Google「Googleとかいう糞使ってる情弱おりゅ?w」
-
androidスマホはアップデート期間短くて
脆弱性放置されてるのが難点と書き込んだら
「現実に問題起きてないだろ」って馬鹿にされたんだが
そんな態度じゃいつか大問題が起きるって反論したら外野の奴まで
「お前の負けだ」とか言い出すし -
ピクセルバグだらけってガジェマガが言ってた
-
Pixelは最速でパッチ当たるから!!
-
修正するとGoogleにとって都合悪かったとか?
-
アプリの異常な更新頻度なんとかならんの?
頭おかしいんだが -
oppoは日本で人気のreno5 aやreno7 aはMali GPUちゃうやろ
-
普段情報漏れてるとかいうのに脆弱性の話になるとダンマリの皆さん
-
chmateあるから大丈夫だよぉ
-
Maliって限られるだろ
-
自社に制裁するDon’t be Evil好き
-
pixelは実質中華製スマホ
-
結局Androidスマホなんてこんなもんよ笑
売った後は知らんぷり -
お前のところもかい
-
俺のROG Phone 3は大丈夫なん?
-
Googleは一枚岩ではないということか
元スレ:https://greta.5ch.net/test/read.cgi/poverty/1669609761
コメント