Google, Adreno GPU'larda "Büyük Bir Açık" Olduğunu Açıkladı
Google, Qualcomm'un başarısız düzeltme girişiminin ardından, Adreno GPU'larda halen "yüksek" bir güvenlik açığının olduğunu açıkladı.
Google'ın Project Zero kapsamında ortaya
koyduğu güvenlik açıklarına bir yenisi daha eklendi. Hatırlatalım,
Project Zero hem Google hem de firmalar tarafından geliştirilen
yazılımlardaki güvenlik açıklarını keşfetmesiyle tanınıyor.
Metodolojisi, açıkları üreticilere özel olarak raporlayarak, kamuya
açıklamadan önce düzeltmeleri için 90 gün vermek üzerine
kurulu. Gerekli düzeltmenin karmaşıklığına bağlı olarak,
bazen bu süreyi uzattıkları da oluyor.
Ekip, geçtiğimiz birkaç yıl içinde diğerlerinin yanı sıra Windows 10 S, macOS çekirdeği ve iOS'taki büyük güvenlik açıklarını ortaya çıkardı. Şimdi, Google Project Zero, başarısız bir düzeltme çabasının ardından, Qualcomm Adreno GPU'larda hala "yüksek" önem derecesine sahip bir güvenlik açığı olduğunu kamuya açıkladı.
Qualcomm'un kodunda bulunan hatanın ayrıntılarını bu sayfadan görüntüleyebilirsiniz.
Bu sorun 15 Eylül'de Qualcomm'a bildirildi, düzeltilmesi için önerilerde bulunuldu ve 90 günlük süre 14 Aralık'ta sona erdi. 7 Aralık'ta Qualcomm, düzeltmeyi tamamladı ve bilgileri OEM'ler ile özel olarak paylaştı. Project Zero ekibine, Ocak 2021'de bir kamu bülteniyle ayrıntıları açıklayacağını söyledi. Ancak Project Zero yaptığı incelemede açığın hala tam olarak kapanmadığını tespit etti ve bunu firmaya bildirdi. Gerekli düzeltmelerin yapılmaması üzerine de Adreno GPU sürücüsündeki bu açık, duyuruldu.
Qualcomm'un düzeltmeler için neden ek süre istemediği bilinmiyor. İstemiş olsa bile, bu bilgi Google açıklamasında yer almıyor. Qualcomm'un şu anda bu açığı düzeltmek için var gücüyle çalıştığı düşünülüyor, zira saldırganlar artık böyle bir açık olduğunu biliyor.