|
Google Project Zero 团队在 2021 年 5 月公布了 4 个 Android 零日漏洞,它们分别是:CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664,以下将介绍它们所代表的意思。目前这 4 个漏洞已被成功修复,如果你还没有更新,还望及时的更新 Android 系统。
新闻内容 根据 Google Project Zero 团队提供的信息,4 个在野外被利用的 Android 零日安全漏洞在 2021 年 5 月早些时候已被修复。试图利用这些漏洞的攻击是有针对性的,并已影响了数量有限的用户。 Android 安全公告显示,"有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能受到有限的、有针对性的利用"。这 4 个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。 高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android 用户受到这些问题的影响,建议尽快安装该安全更新。 它们所代表的意思分别是: 1、CVE-2021-1905:高通 - 由于对多个进程的内存映射处理不当,可能会出现 UAF。 2、CVE-2021-1906:高通 - 对失败时的地址取消注册处理不当,可能导致新的 GPU 地址分配失败。 3、CVE-2021-28663:ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作,以进入 "UAF" 情景,并可能获得 root 权限,并泄露信息。 4、CVE-2021-28664:ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限,并可能获得 root 权限,破坏内存和修改其他进程的内存。
注意事项 这里需要注意的是,根据不用厂商对设备的支持程序,Android 设备通常只有 3-4 年的安全更新支持,因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。 根据 StatCounter 的统计数据,目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12 月发布),大约 19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。 所以,建议用户对 Android 版本进行升级,以修复潜在的安全威胁。
相关主题 |
