Il y a quelques semaines, l’équipe de recherche sur la sécurité Project Zero de Google a arraché le bandeau sur la divulgation exploits corrigés affectant le pilote des GPU Arm’s Mali – des composants trouvés dans des millions et des millions de téléphones Android. La piqûre, cependant, est venue du fait que les fabricants avaient et n’ont pas encore transmis les correctifs à leurs utilisateurs finaux environ cinq mois (et plus) après qu’Arm ait fait sa part. Google lui-même a eu une part de responsabilité, mais, avec Android 13 QPR2 bêta 1il est en bonne voie de rattraper son retard et de s’assurer que les propriétaires de Pixel et tout le monde dans Android Land restent en sécurité.
Pour faire court, les pilotes du noyau Arm s’interfaçant actuellement avec les GPU Mali de diverses architectures – y compris ceux des séries Pixel 6 et 7 – devront être mis à jour pour la version 38p1 ou une version révisée 39p0 afin d’éliminer les vulnérabilités qui auraient permis aux pirates prendre certaines commandes sur l’appareil de l’utilisateur.
Comme le note Mishaal RahmanGoogle a livré sa mise à jour QPR1 finalisée ce mois-ci avec une version de pilote plus ancienne, r36, mais l’a remplacée par la version r38p1 requise pour la poussée QPR2 Beta 1.
Dans le sillage initial du billet de blog de Project Zero, Google a déclaré qu’il testait activement les correctifs d’Arm et qu’un correctif ultime pourrait être déployé dans les « semaines à venir », il y a donc de bonnes chances que cela soit diffusé à tous les utilisateurs de Pixel – pas seulement à ceux de la version bêta de QPR2 – avec les correctifs de sécurité de janvier . D’autres OEM sont également avertis car Google a clairement indiqué que le nouveau pilote Arm leur sera nécessaire pour répondre aux exigences de niveau de correctif de sécurité à l’avenir.
Bien sûr, une mise à jour de pilote implique plus que de simples corrections de bogues et il faut du temps aux partenaires en aval pour concilier d’autres problèmes qui surgissent avec les changements apportés avec une nouvelle version – dans ce cas, certains des propriétaires de Pixel les plus geeks sur QPR2 Beta 1 sont essentiellement aider Google en faisant des tests publics.
Arm a fait sa part. Nous souhaitons juste que l’ensemble d’Android ait fait le leur plus tôt. Beaucoup plus tôt.
