Android为4个在野外被利用的新零日漏洞发布补丁

谷歌星期三更新了2021年5月的Android安全公告，披露了本月早些时候被ARM和高通公司修补的四的安全漏洞可能在野外被开发为“零天”。

“有迹象表明，CVE-2021-1905、CVE-2021-1906、CVE-2021-28663和CVE-2021-28664可能受到有限的、有针对性的攻击，”这家搜索巨头在更新的警报中说。

The four flaws impact Qualcomm Graphics and Arm Mali GPU Driver modules —

• （CVSS分数：8.4）-高通公司图形组件因同时处理多个进程的内存映射不当而存在“免后使用”缺陷。
• （CVSS分数：6.2）-地址注销处理不当的缺陷，可能导致新的GPU地址分配失败。
• （CVSS分数：NA）-Arm Mali GPU内核中的一个漏洞，允许非特权用户对GPU内存进行不正确的操作，导致释放后使用的情况，可被利用来获得根权限或泄露信息。
• （CVSS分数：NA）-未经授权的用户可以实现对只读内存的读/写访问，从而导致权限升级或内存损坏导致拒绝服务（DoS）情况。

成功利用这些弱点可以让对手全权访问目标设备并接管控制权。然而，目前尚不清楚袭击本身是如何实施的，袭击的目标可能是哪些受害者，或是可能虐待他们的威胁行为者。

这一进展标志着在现实世界的网络攻击中发现Android零日漏洞的罕见案例之一。

今年3月早些时候，谷歌披露了一个影响使用高通芯片组（CVE-2020-11261）的安卓设备的漏洞，该漏洞正被对手武装起来，以发起有针对性的攻击。另一个缺陷是CVE-2019-2215，Binder—中的一个漏洞；Android的进程间通信机制—；据称，NSO组织和响尾蛇威胁行动方利用这一漏洞，危害受害者的设备并收集用户信息。