GoogleのProject Zeroは11月22日(米国時間)、「Project Zero: Mind the Gap」において、ARM Mali GPUを搭載したデバイスに存在する脆弱性(CVE-2022-33917)が依然として修正されていないと伝えた。
脆弱性を修正したドライバソースコードはARMから公開されているが、これがPixel、Samsung、Xiaomi、Oppoなどを含むAndroidデバイスに適用されていないとして注意を呼びかけた。
GoogleのProject Zeroチームは2022年6月から7月にかけて、ARM Mali GPUドライバに複数の脆弱性が存在することを確認し、ARMへ報告。ARMは2022年7月および8月には問題を修正し、脆弱性に関する情報を「Mali GPU Driver Vulnerabilities」において開示するとともに、「Mali Drivers | Open Source Mali Valhall GPU Kernel Drivers – Arm Developer」において修正したドライバソースコードの公開を行った。
ARMから脆弱性が修正されたソースコードが公開されているものの、この修正が依然としてAndroidデバイスには到達していないことをGoogleのProject Zeroチームが指摘。同チームは、ユーザーがセキュリティ更新プログラムを迅速に適用するのと同じように、ベンダーもパッチの取り込みと適用を迅速に行うことが重要だとして、できるだけ早くユーザーに完全なパッチを提供するための態勢を作る必要があると注意を促している。