L'esprit de l'écart

- La chercheuse de Project Zero, Maddie Stone, a trouvé que de nombreuses attaques zero-day en 2022 ont exploité des vulnérabilités corrigées. - La vulnérabilité du pilote GPU Mali d'ARM (CVE-2021-39793) a été utilisée dans une attaque réelle sur le Pixel 6. - Le chercheur de Project Zero, Jann Horn, a découvert cinq vulnérabilités supplémentaires exploitables dans le pilote GPU Mali. - Ces vulnérabilités pourraient permettre aux attaquants d'accéder à la mémoire du noyau, de divulguer des adresses de mémoire physique et de contourner le modèle de permissions d'Android. - ARM a rapidement corrigé ces problèmes, mais les correctifs n'ont pas encore atteint les appareils Android affectés. - Les vendeurs devraient prioriser le patching en temps opportun pour minimiser le "gouffre de patch" et protéger les utilisateurs. - Project Zero teste les patches pour leur efficacité et peut signaler des bugs de suivi ou des réparations manquantes. - Les entreprises ont besoin de surveiller les sources en amont et de fournir des patches complets aux utilisateurs dès que possible. - Les vendeurs et les utilisateurs finaux devraient appliquer les patches dès que possible pour atténuer les vulnérabilités.