云网牛站
所在位置:首页 > Linux手机 > Android零日漏洞CVE-2021-1905/1906/28663/28664的介绍

Android零日漏洞CVE-2021-1905/1906/28663/28664的介绍

2021-05-23 09:02:50作者:Alias_Travis稿源:OSCHINA站

Google Project Zero 团队在 2021 年 5 月公布了 4 个 Android 零日漏洞,它们分别是:CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664,以下将介绍它们所代表的意思。目前这 4 个漏洞已被成功修复,如果你还没有更新,还望及时的更新 Android 系统。

Android零日漏洞CVE-2021-1905/1906/28663/28664的介绍

 

新闻内容

根据 Google Project Zero 团队提供的信息,4 个在野外被利用的 Android 零日安全漏洞在 2021 年 5 月早些时候已被修复。试图利用这些漏洞的攻击是有针对性的,并已影响了数量有限的用户。

Android 安全公告显示,"有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能受到有限的、有针对性的利用"。这 4 个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。

高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android 用户受到这些问题的影响,建议尽快安装该安全更新。

它们所代表的意思分别是:

1、CVE-2021-1905:高通 - 由于对多个进程的内存映射处理不当,可能会出现 UAF。

2、CVE-2021-1906:高通 - 对失败时的地址取消注册处理不当,可能导致新的 GPU 地址分配失败。

3、CVE-2021-28663:ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作,以进入 "UAF" 情景,并可能获得 root 权限,并泄露信息。

4、CVE-2021-28664:ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限,并可能获得 root 权限,破坏内存和修改其他进程的内存。

 

注意事项

这里需要注意的是,根据不用厂商对设备的支持程序,Android 设备通常只有 3-4 年的安全更新支持,因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。

根据 StatCounter 的统计数据,目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12 月发布),大约 19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。

所以,建议用户对 Android 版本进行升级,以修复潜在的安全威胁。

 

相关主题

将所有数据从旧Android转移到新Android的方法

精选文章
热门文章