根据 Google Project Zero 团队提供的信息,四个在野外被利用的 Android 零日安全漏洞在本月早些时候被修复。试图利用这些漏洞的攻击是有针对性的,并已影响了数量有限的用户。
Android 安全公告显示,"有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能受到有限的、有针对性的利用"。这四个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。
高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android 用户受到这些问题的影响,建议尽快安装该安全更新。
CVE-2021-1905:高通 - 由于对多个进程的内存映射处理不当,可能会出现 UAF。
CVE-2021-1906:高通 - 对失败时的地址取消注册处理不当,可能导致新的 GPU 地址分配失败。
CVE-2021-28663:ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作,以进入 "UAF" 情景,并可能获得 root 权限,并泄露信息。
CVE-2021-28664:ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限,并可能获得 root 权限,破坏内存和修改其他进程的内存。
不过需要注意的是,根据不用厂商对设备的支持程序,Android 设备通常只有 3-4 年的安全更新支持,因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。
根据 StatCounter 的统计数据,目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12 月发布),大约 19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。