谷歌修复4个已遭利用的安卓 0day
编译:奇安信代码卫士
本周三,谷歌更新2021年五月安卓安全通告称,Arm 和高通在本月早些时候修复的4个漏洞可能已在 0day 漏洞状况下遭利用。
安全通告指出,“有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能已遭有限的且有针对性的利用。”
如下四个缺陷影响高通 Graphics 和 Arm Mali GPU Driver 模块:
CVE-2021-1905(CVSS 评分8.4):因同时对多个进程的内存映射处理不当,高通图片组件中存在释放后使用缺陷。
CVE-2021-1906(CVSS 评分6.2):该缺陷和地址注销处理不当有关,可导致新的 GPU 地址分配失败。
CVE-2021-28663 (CVSS评分无):Arm Mail GPU 内核中存在一个漏洞,可导致非权限用户在 GPU 内存中做出不当操作,导致释放后使用场景,进而获得根权限或造成信息泄露后果。
CVE-2021-28664(CVSS评分无):非权限用户可获得对只读内存的读/写权限,从而因内存损坏引起权限提升或拒绝服务条件。
这些弱点如遭成功利用,可导致攻击者获得对目标设备的全部访问权限并控制设备。然而,目前尚不清楚攻击本身是否已执行,遭攻击的受害者是谁,或者滥用这些漏洞的威胁行动者是谁。
这一情况展示了少见情况:安卓中的 0day 漏洞已被用于真实的网络攻击活动中。
3月早些时候,谷歌称有攻击者武器化使用高通芯片集的安卓设备中存在的漏洞 (CVE-2020-11261) 发动针对性攻击。另外,存在于安卓跨流程通信机制 Binder 中的漏洞 (CVE-2021-2216) 遭 NSO Group 和 SolarWinds 威胁行动者利用,攻陷受害者设备并收集用户信息。
安卓被曝已遭利用的新 0day,影响多数安卓设备(含 PoC)
还挖吗?0day 买卖商 Zerodium 更新价格表:安卓0day 价格首超 iOS,最高250万美元
QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day
微软发布5月补丁星期二:3个0day,1个蠕虫
一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞
https://thehackernews.com/2021/05/android-issues-patches-for-4-new-zero.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。