依据 Google Project Zero 精英团队带来的信息,四个在野外被利用的 Android 零日安全漏洞在本月稍早被修补。试图利用这种系统漏洞的进攻是有针对性的,并已危害了总数不足的客户。
Android 安全性公示表明,"有征兆说明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 很有可能遭受比较有限的、有针对性的利用"。这四个 Android 系统漏洞危害了高通芯片 GPU 和 Arm Mali GPU 推动部件。
美国高通公司和 Arm 企业早已根据独立发表的安全性公示发布了每一个系统漏洞的进一步关键点。假如 Android 客户遭受这种问题的危害,提议尽早安裝该安全补丁。
CVE-2021-1905:高通芯片 - 因为对好几个过程的内存映射处理错误,很有可能会发生 UAF。
CVE-2021-1906:高通芯片 - 对不成功时的详细地址撤销申请注册处理错误,很有可能造成新的 GPU 详细地址分派不成功。
CVE-2021-28663:ARM - Mali GPU 核心驱动软件容许对 GPU 独显存储开展不恰当的实际操作。非权利客户可对 GPU 独显存储开展不合理实际操作,以进到 "UAF" 场景,并很有可能得到 root 管理权限,并泄漏信息。
CVE-2021-28664:ARM - Mali GPU 核心驱动软件将 CPU RO 网页页面提高为可写。非权利客户可以得到对审阅运行内存的载入管理权限,并很有可能得到 root 管理权限,毁坏运行内存和改动别的过程的运行内存。
但是要留意的是,依据无需生产商对机器设备的适用程序流程,Android 机器设备通常仅有 3-4 年的安全补丁适用,因而对一些手持式较旧机器设备的消费者来讲也许就无法安装这种补丁包。
依据 StatCounter 的数据统计,现阶段仍有超出 9% 的 Android 机器设备仍在运作安卓系统 8.1 Oreo(2017 年 12 月公布),大概 19% 仍在运作 Android 9.0 Pie(2018 年 8 月公布)。
文中转自OSCHINA
本文文章标题:Project Zero 发布 4 个 Android 零日系统漏洞,现阶段已被修补
文中详细地址:https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days