Project Zero 公布 4 個(gè) Android 零日漏洞,目前已被修復(fù)
根據(jù) Google Project Zero 團(tuán)隊(duì)提供的信息,四個(gè)在野外被利用的 Android 零日安全漏洞在本月早些時(shí)候被修復(fù)。試圖利用這些漏洞的攻擊是有針對(duì)性的,并已影響了數(shù)量有限的用戶。
Android 安全公告顯示,"有跡象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能受到有限的、有針對(duì)性的利用"。這四個(gè) Android 漏洞影響了高通 GPU 和 Arm Mali GPU 驅(qū)動(dòng)組件。
高通公司和 Arm 公司已經(jīng)通過(guò)單獨(dú)發(fā)布的安全公告公布了每個(gè)漏洞的進(jìn)一步細(xì)節(jié)。如果 Android 用戶受到這些問(wèn)題的影響,建議盡快安裝該安全更新。
CVE-2021-1905:高通 - 由于對(duì)多個(gè)進(jìn)程的內(nèi)存映射處理不當(dāng),可能會(huì)出現(xiàn) UAF。
CVE-2021-1906:高通 - 對(duì)失敗時(shí)的地址取消注冊(cè)處理不當(dāng),可能導(dǎo)致新的 GPU 地址分配失敗。
CVE-2021-28663:ARM - Mali GPU 內(nèi)核驅(qū)動(dòng)程序允許對(duì) GPU 顯存進(jìn)行不適當(dāng)?shù)牟僮鳌7翘貦?quán)用戶可對(duì) GPU 顯存進(jìn)行不當(dāng)操作,以進(jìn)入 "UAF" 情景,并可能獲得 root 權(quán)限,并泄露信息。
CVE-2021-28664:ARM - Mali GPU 內(nèi)核驅(qū)動(dòng)程序?qū)?CPU RO 頁(yè)面提升為可寫。非特權(quán)用戶可以獲得對(duì)只讀內(nèi)存的寫入權(quán)限,并可能獲得 root 權(quán)限,破壞內(nèi)存和修改其他進(jìn)程的內(nèi)存。
不過(guò)需要注意的是,根據(jù)不用廠商對(duì)設(shè)備的支持程序,Android 設(shè)備通常只有 3-4 年的安全更新支持,因此對(duì)于一些手持較舊設(shè)備的用戶而言可能就無(wú)法安裝這些補(bǔ)丁。
根據(jù) StatCounter 的統(tǒng)計(jì)數(shù)據(jù),目前仍有超過(guò) 9% 的 Android 設(shè)備仍在運(yùn)行安卓 8.1 Oreo(2017 年 12 月發(fā)布),大約 19% 還在運(yùn)行 Android 9.0 Pie(2018 年 8 月發(fā)布)。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:Project Zero 公布 4 個(gè) Android 零日漏洞,目前已被修復(fù)
本文地址:https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days
