查看原文
其他

谷歌修复4个已遭利用的安卓 0day

Ravie Lakshmanan 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士




本周三,谷歌更新2021年五月安卓安全通告称,Arm 和高通在本月早些时候修复的4个漏洞可能已在 0day 漏洞状况下遭利用。


安全通告指出,“有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能已遭有限的且有针对性的利用。”

如下四个缺陷影响高通 Graphics 和 Arm Mali GPU Driver 模块:

  • CVE-2021-1905(CVSS 评分8.4):因同时对多个进程的内存映射处理不当,高通图片组件中存在释放后使用缺陷。

  • CVE-2021-1906(CVSS 评分6.2):该缺陷和地址注销处理不当有关,可导致新的 GPU 地址分配失败。

  • CVE-2021-28663 (CVSS评分无):Arm Mail GPU 内核中存在一个漏洞,可导致非权限用户在 GPU 内存中做出不当操作,导致释放后使用场景,进而获得根权限或造成信息泄露后果。

  • CVE-2021-28664(CVSS评分无):非权限用户可获得对只读内存的读/写权限,从而因内存损坏引起权限提升或拒绝服务条件。

这些弱点如遭成功利用,可导致攻击者获得对目标设备的全部访问权限并控制设备。然而,目前尚不清楚攻击本身是否已执行,遭攻击的受害者是谁,或者滥用这些漏洞的威胁行动者是谁。

这一情况展示了少见情况:安卓中的 0day 漏洞已被用于真实的网络攻击活动中。

3月早些时候,谷歌称有攻击者武器化使用高通芯片集的安卓设备中存在的漏洞 (CVE-2020-11261) 发动针对性攻击。另外,存在于安卓跨流程通信机制 Binder 中的漏洞 (CVE-2021-2216) 遭 NSO Group 和 SolarWinds 威胁行动者利用,攻陷受害者设备并收集用户信息。






推荐阅读
研究员改进了安卓 0day CVE-2019-2215 的 PoC 代码
安卓被曝已遭利用的新 0day,影响多数安卓设备(含 PoC)
还挖吗?0day 买卖商 Zerodium 更新价格表:安卓0day 价格首超 iOS,最高250万美元
QNAP 提醒客户注意 eCh0raix 勒索攻击和 Room Server 0day
微软发布5月补丁星期二:3个0day,1个蠕虫
一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞




原文链接

https://thehackernews.com/2021/05/android-issues-patches-for-4-new-zero.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存