Milliós nagyságrendben lehetnek az ARM Mali grafikus egységet használó Android operációs rendszerű okostelefonok kitéve aktív biztonsági kockázatnak (CVE-2022-33917). Az r29p0 és r38p0 közötti Valhall, r4p0 és r32p0 közötti Midgard, r0p0 és r38p0 közti, r39p0 és r38p1 előtti Bifrost GPU kernel drivert használó Mali egységek hibája lehetővé teszi, hogy támadók távolról a grafikus egységen keresztül hozzáférjenek a készülék szabad memóriájához, valamint GPU-t használó feladatokat futtassanak a háttérben. Az ARM-nek idén június 17-én jelentették a hibát, a cég részéről a patch meg is érkezett az említett driverekhez, viszont úgy tűnik, az okostelefonokig már nem jutott el: MediaTek lapkákat használó Oppo, Xiaomi, Exynos chipes Samsung, de még a Google saját Pixel okostelefonjain is megtalálták a készüléken elérhető legfrissebb rendszerrel.

A Qualcomm fejlesztette Snapdragon lapkák nem érintettek a kockázatban, lévén nem ARM GPU-t használnak. A MediaTek legtöbb SoC-je viszont igen. [+]

A Google Project Zero ennek nyomán felteszi a kérdést, hogy mi tart ennyi ideig a hiba jelentése, a javítócsomag megszületése és a felhasználókhoz történő megérkezése között? A Google november 27-én közleményben jelezte, az Android és a Pixel csoport már dolgozik az ARM által közreadott javítások implementálásának tesztelésén, a hetekben elérhető is lesz az első biztonsági frissítés a Pixel készülékekre. A Google a közlemény szerint elvárja majd az OEM partnerektől is, hogy azok frissítsék saját rendszereiket, a javítás ugyanis bekerül a következő biztonsági csomag szint (SPL) alapkövetelményeibe.