在本月初發(fā)布的2021年5月的Android安全公告中，您可以找到與Android用戶有關(guān)的幾個(gè)組件中約40個(gè)漏洞的列表。根據(jù)Google Project Zero團(tuán)隊(duì)提供的信息，其中4個(gè)安卓安全漏洞被當(dāng)作0 day漏洞在野外被利用。

好消息是目前有可用的補(bǔ)丁程序。但是Android補(bǔ)丁更新的問(wèn)題是，作為一個(gè)用戶，這些補(bǔ)丁的更新依賴于你的上游供應(yīng)商(設(shè)備制造商)。

[[401600]]

Android更新升級(jí)

對(duì)于Android用戶來(lái)說(shuō)，何時(shí)獲得最新更新總是未知的。Android設(shè)備在很多方面都像是一臺(tái)計(jì)算機(jī)，需要定期更新。

更新是對(duì)現(xiàn)有Android版本進(jìn)行改進(jìn)后，這些更新會(huì)定期發(fā)布。升級(jí)是指您進(jìn)行下載安裝，使設(shè)備獲得更高的Android版本。通常，只要設(shè)備系統(tǒng)版本保持最新，設(shè)備就可以正常運(yùn)行。

設(shè)備更新取決于誰(shuí)?

Google是開(kāi)發(fā)Android操作系統(tǒng)(它本身是Linux的一種)的公司，并且該公司也一直保持版本的最新?tīng)顟B(tài)，同時(shí)也是創(chuàng)建安全補(bǔ)丁程序的公司。但是隨著該軟件移交給了設(shè)備制造商，后者會(huì)為自己的設(shè)備創(chuàng)建了自己的版本。

因此，您的設(shè)備什么時(shí)候可以獲得最新更新，這取決于設(shè)備的制造商，而某些制造商的設(shè)備可能永遠(yuǎn)都不會(huì)更新。

嚴(yán)重漏洞

在說(shuō)明中，公告指出有跡象表明CVE-2021-1905，CVE-2021-1906，CVE-2021-28663和CVE-2021-28664可能受到有針對(duì)性的利用。公開(kāi)披露的計(jì)算機(jī)安全漏洞(CVE)暴露在數(shù)據(jù)庫(kù)中。在野外可能被濫用的四個(gè)是：

(1) CVE-2021-1905可能由于同時(shí)處理多個(gè)進(jìn)程的內(nèi)存映射不正確而免費(fèi)使用。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(2) CVE-2021-1906失敗時(shí)對(duì)地址注銷的不當(dāng)處理可能導(dǎo)致新的GPU地址分配失敗。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(3) CVE-2021-28663 Arm Mali GPU內(nèi)核驅(qū)動(dòng)程序允許特權(quán)提升或信息泄露，因?yàn)镚PU內(nèi)存操作處理不當(dāng)，導(dǎo)致了先后使用。這會(huì)影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r4p0到r30p0。

(4) CVE-2021-28664 Arm Mali GPU內(nèi)核驅(qū)動(dòng)程序允許特權(quán)升級(jí)或服務(wù)拒絕(內(nèi)存損壞)，因?yàn)榉翘貦?quán)用戶可以實(shí)現(xiàn)對(duì)只讀頁(yè)面的讀/寫訪問(wèn)。這會(huì)影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r8p0到r30p0。

像CVE-2021-1905一樣的免費(fèi)使用(UAF)漏洞是由于程序運(yùn)行期間對(duì)動(dòng)態(tài)內(nèi)存的不正確使用而引起的。如果釋放內(nèi)存位置后，程序沒(méi)有清除指向該內(nèi)存的指針，則攻擊者可以使用該漏洞來(lái)操縱程序。

Snapdragon是一套由高通技術(shù)公司設(shè)計(jì)和銷售的用于移動(dòng)設(shè)備的片上系統(tǒng)(SoC)半導(dǎo)體產(chǎn)品。

Arm Mali GPU是圖形處理單元，適用于由Arm開(kāi)發(fā)的各種移動(dòng)設(shè)備，從智能手表到自動(dòng)駕駛汽車。

緩解措施

您可以通過(guò)檢查安全修補(bǔ)程序級(jí)別來(lái)判斷設(shè)備是否受到保護(hù)。

2021-05-01或更高版本的安全補(bǔ)丁程序級(jí)別解決了與2021-05-01安全補(bǔ)丁程序級(jí)別相關(guān)的所有問(wèn)題。

2021-05-05或更高版本的安全補(bǔ)丁程序級(jí)別解決了與2021-05-05安全補(bǔ)丁程序級(jí)別和所有以前的補(bǔ)丁程序級(jí)別相關(guān)的所有問(wèn)題。

我們很想告訴您請(qǐng)緊急修補(bǔ)，但是正如我們所解釋的，這取決于設(shè)備制造商。

本文翻譯自：

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/android-patches-for-4-in-the-wild-bugs-are-out-but-when-will-you-get-them/