根据 Google Project Zero 团队提供的日漏信息,四个在野外被利用的洞目 Android 零日安全漏洞在本月早些时候被修复。试图利用这些漏洞的前已攻击是有针对性的,并已影响了数量有限的布个被修用户。
[[401453]]
Android 安全公告显示,日漏"有迹象表明,洞目CVE-2021-1905、前已CVE-2021-1906、布个被修CVE-2021-28663 和 CVE-2021-28664 可能受到有限的日漏、有针对性的洞目利用"。这四个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。
高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android 用户受到这些问题的影响,建议尽快安装该安全更新。
CVE-2021-1905:高通 - 由于对多个进程的内存映射处理不当,可能会出现 UAF。
CVE-2021-1906:高通 - 对失败时的地址取消注册处理不当,可能导致新的 GPU 地址分配失败。
CVE-2021-28663:ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作,以进入 "UAF" 情景,并可能获得 root 权限,并泄露信息。
CVE-2021-28664:ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限,并可能获得 root 权限,破坏内存和修改其他进程的内存。
不过需要注意的是,根据不用厂商对设备的支持程序,Android 设备通常只有 3-4 年的安全更新支持,因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。
根据 StatCounter 的统计数据,目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12 月发布),大约 19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。
本文转自OSCHINA
本文标题:Project Zero 公布 4 个 Android 零日漏洞,目前已被修复
本文地址:https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days
责任编辑:未丽燕 来源: 开源中国 Android漏洞Google(责任编辑:时尚)
中国医疗集团(08225.HK)发布公告:预计年度税后纯利大幅增加不少于100%
爱美客(300896.SZ)年报推10转8派35元 除权除息日为2021年3月16日
和泓服务(06093.HK)年度净利5635.7万元 每股基本盈利为12.76分