警告：一个新的Android零日漏洞正在受到主动攻击

谷歌透露，一个现已修补的漏洞正在影响使用高通芯片组的安卓设备，该漏洞正在被对手武器化，以发起有针对性的攻击。

追踪为CVE-2020-11261（CVSS得分8.4），该漏洞涉及高通图形组件中的“输入验证不正确”问题，当攻击者设计的应用程序请求访问设备的大量内存时，该问题可能会被利用，从而触发内存损坏。

“有迹象表明CVE-2020-11261可能受到有限的、有针对性的利用，”这家搜索巨头在3月18日更新的1月安全公告中说。

CVE-2020—11261在2020年7月20日被谷歌Android安全团队发现并报告给高通公司，此后它在2021年1月被修复。

值得注意的是，漏洞的访问向量是“本地的”，这意味着利用漏洞需要本地访问设备。换句话说，要发动成功的攻击，坏行为人必须能够物理访问易受攻击的智能手机，或者使用其他手段（例如水坑）来传递恶意代码并触发攻击链。

虽然有关攻击、攻击者身份和目标受害者的详细信息尚未公布，但谷歌拒绝分享此类信息以防止其他威胁行为人利用该漏洞并非罕见。

如果说有什么区别的话，这一发展再次强调，一旦安全更新可用，就需要立即安装每月的安全更新，以防止Android设备被利用。我们已经联系谷歌征求意见，如果我们得到回复，我们将更新这篇文章。