Project Zero 公布 4 个 Android 零日漏洞，布个被修目前已被修复

作者：Alias_Travis 日漏2021-05-25 14:22:55安全 移动安全 根据 Google Project Zero 团队提供的信息，四个在野外被利用的洞目 Android 零日安全漏洞在本月早些时候被修复。试图利用这些漏洞的前已攻击是有针对性的，并已影响了数量有限的布个被修用户。

根据 Google Project Zero 团队提供的日漏信息，四个在野外被利用的洞目 Android 零日安全漏洞在本月早些时候被修复。试图利用这些漏洞的前已攻击是有针对性的，并已影响了数量有限的布个被修用户。

[[401453]]

Android 安全公告显示，日漏"有迹象表明，洞目CVE-2021-1905、前已CVE-2021-1906、布个被修CVE-2021-28663 和 CVE-2021-28664 可能受到有限的日漏、有针对性的洞目利用"。这四个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。

高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android 用户受到这些问题的影响，建议尽快安装该安全更新。

CVE-2021-1905：高通 - 由于对多个进程的内存映射处理不当，可能会出现 UAF。

CVE-2021-1906：高通 - 对失败时的地址取消注册处理不当，可能导致新的 GPU 地址分配失败。

CVE-2021-28663：ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作，以进入 "UAF" 情景，并可能获得 root 权限，并泄露信息。

CVE-2021-28664：ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限，并可能获得 root 权限，破坏内存和修改其他进程的内存。

不过需要注意的是，根据不用厂商对设备的支持程序，Android 设备通常只有 3-4 年的安全更新支持，因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。

根据 StatCounter 的统计数据，目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12 月发布)，大约 19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。

本文转自OSCHINA

本文标题：Project Zero 公布 4 个 Android 零日漏洞，目前已被修复

本文地址：https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days

责任编辑：未丽燕 来源： 开源中国 Android漏洞Google

(责任编辑：时尚)