Webtagr - 科技资讯摘要

高通DSP驱动程序中的多个漏洞引发安全担忧

2024-12-16

谷歌Project Zero团队发现高通DSP驱动程序中存在6个漏洞，其中一个已被证实存在于现实世界中的攻击中。这些漏洞源于对Amnesty International提供的内核崩溃日志的分析，并未获得实际的攻击样本。研究人员通过对驱动程序进行代码审查，发现了多个内存损坏漏洞，包括 use-after-free 和引用计数泄漏。攻击者可能利用这些漏洞结合inotify_event_info对象进行堆喷射，最终实现代码执行。该事件突显了Android第三方驱动程序安全性的重要性。

(googleprojectzero.blogspot.com)

科技 DSP驱动程序

Project Zero：从Naptime到Big Sleep：使用大型语言模型在真实代码中捕获漏洞

2024-11-01

Google Project Zero 和 Google DeepMind 合作开发的 Big Sleep AI 代理在 SQLite 中发现了一个可利用的堆栈缓冲区下溢漏洞。该漏洞在十月份被发现并报告给开发者，并在同一天得到修复。这是 AI 代理首次在广泛使用的真实软件中发现先前未知的可利用内存安全问题。Big Sleep 基于先前的 Naptime 项目，重点关注已修复漏洞的变体分析。该代理通过检查与先前漏洞相关的提交，成功识别并生成了触发 SQLite 漏洞的测试用例，而该漏洞并未被传统的模糊测试方法发现。

(googleprojectzero.blogspot.com)

16

未分类

Project Zero：安卓驱动程序漏洞分析

2024-06-14

本文分析了安卓系统中第三方驱动程序存在的安全漏洞。作者研究了谷歌、小米和华硕手机中的驱动程序，发现了多个漏洞，并详细介绍了利用其中一个漏洞获取root权限的过程。此外，文章还讨论了安卓系统中驱动程序安全性的现状，并提出了改进建议。

(googleprojectzero.blogspot.com)

38

未分类安卓安全驱动程序漏洞 Project Zero