Google'ın Project Zero kapsamında ortaya koyduğu güvenlik açıklarına bir yenisi daha eklendi. Hatırlatalım, Project Zero hem Google hem de firmalar tarafından geliştirilen yazılımlardaki güvenlik açıklarını keşfetmesiyle tanınıyor. Metodolojisi, açıkları üreticilere özel olarak raporlayarak, kamuya açıklamadan önce düzeltmeleri için 90 gün vermek üzerine kurulu. Gerekli düzeltmenin karmaşıklığına bağlı olarak, bazen bu süreyi uzattıkları da oluyor.
Ekip, geçtiğimiz birkaç yıl içinde diğerlerinin yanı sıra Windows 10 S, macOS çekirdeği ve iOS'taki büyük güvenlik açıklarını ortaya çıkardı. Şimdi, Google Project Zero, başarısız bir düzeltme çabasının ardından, Qualcomm Adreno GPU'larda hala "yüksek" önem derecesine sahip bir güvenlik açığı olduğunu kamuya açıkladı.
Qualcomm'un kodunda bulunan hatanın ayrıntılarını bu sayfadan görüntüleyebilirsiniz.
Bu sorun 15 Eylül'de Qualcomm'a bildirildi, düzeltilmesi için önerilerde bulunuldu ve 90 günlük süre 14 Aralık'ta sona erdi. 7 Aralık'ta Qualcomm, düzeltmeyi tamamladı ve bilgileri OEM'ler ile özel olarak paylaştı. Project Zero ekibine, Ocak 2021'de bir kamu bülteniyle ayrıntıları açıklayacağını söyledi. Ancak Project Zero yaptığı incelemede açığın hala tam olarak kapanmadığını tespit etti ve bunu firmaya bildirdi. Gerekli düzeltmelerin yapılmaması üzerine de Adreno GPU sürücüsündeki bu açık, duyuruldu.
Qualcomm'un düzeltmeler için neden ek süre istemediği bilinmiyor. İstemiş olsa bile, bu bilgi Google açıklamasında yer almıyor. Qualcomm'un şu anda bu açığı düzeltmek için var gücüyle çalıştığı düşünülüyor, zira saldırganlar artık böyle bir açık olduğunu biliyor.