谷歌安全团队公布高通Adreno GPU中尚未修复的严重安全漏洞
谷歌经常公布某些尚未修复的安全漏洞,这种情况对谷歌来说似乎已经非常平常,即便开发商反对也没什么办法。
此前谷歌因为公开微软尚未修复的漏洞而被微软喷过,不过谷歌依然我行我素继续公布微软和其他开发商的漏洞。
因为按照谷歌设想所有漏洞都给开发商三个月的时间修复,到三个月后无论漏洞是否修复相关的细节均自动公开。
谷歌希望通过这种方式敦促开发商积极修复漏洞避免像某些公司只会拖延,当然弊端是有时候可能引起安全风险。
据外媒报道目前谷歌安全团队已经将高通图形显示芯片的漏洞公布,这枚安全漏洞的等级为严重级别具有危害性。
漏洞主要是高通在处理图形显示芯片的内核时有些错误,这些错误在驱动程序里因此高通可以通过驱动进行修复。
实际上高通也确实积极对漏洞进行修复,原本高通计划在下个月发布安全公告,同时将新版驱动提供给制造商们。
但谷歌安全团队在验证高通提供的新驱动时又发现新漏洞,这个漏洞是高通为解决前面的漏洞新增的代码引入的。
随后谷歌再次向高通通报漏洞并建议高通在解决新漏洞前最好不要发布新驱动,毕竟你这新驱动还是有安全漏洞。
高通回应称目前正在对漏洞的内容进行评估,不过此前的漏洞已经超期所以漏洞的所有细节已经被谷歌完整公布。
现在的情况就是高通不发补丁不行、发补丁也不行,所以高通只是说正在评估和调查,并没有透露接下来的计划。
不过从漏洞细节来看这枚漏洞的利用难度相对来说比较大,因此按理说短时间内未修复应该不会影响太多的用户。
业界人士表示攻击者利用此漏洞可以进行提权,不过考虑到漏洞利用难度较大,当前应该不会被攻击者广泛利用。
然而业界人士也提醒称在谷歌公布漏洞细节后可能会有攻击者积极进行尝试,所以对高通来说修复时间还很紧迫。