Project Zero 公布 4 个 Android 零日漏洞，目前已被修复

根据 Google Project Zero 团队提供的信息，四个在野外被利用的Android零日安全漏洞在本月早些时候被修复。试图利用这些漏洞的攻击是有针对性的，并已影响了数量有限的用户。

Android 安全公告显示，"有迹象表明，CVE-2021-1905、CVE-2021-1906、CVE-2021-28663和CVE-2021-28664 可能受到有限的、有针对性的利用"。这四个 Android 漏洞影响了高通 GPU 和 Arm Mali GPU 驱动组件。

高通公司和 Arm 公司已经通过单独发布的安全公告公布了每个漏洞的进一步细节。如果 Android用户受到这些问题的影响，建议尽快安装该安全更新。

CVE-2021-1905：高通 - 由于对多个进程的内存映射处理不当，可能会出现 UAF。

CVE-2021-1906：高通 - 对失败时的地址取消注册处理不当，可能导致新的 GPU 地址分配失败。

CVE-2021-28663：ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU显存进行不当操作，以进入"UAF" 情景，并可能获得 root 权限，并泄露信息。

CVE-2021-28664：ARM - Mali GPU 内核驱动程序将 CPU RO页面提升为可写。非特权用户可以获得对只读内存的写入权限，并可能获得root 权限，破坏内存和修改其他进程的内存。

不过需要注意的是，根据不用厂商对设备的支持程序，Android 设备通常只有3-4年的安全更新支持，因此对于一些手持较旧设备的用户而言可能就无法安装这些补丁。

根据 StatCounter 的统计数据，目前仍有超过 9% 的 Android 设备仍在运行安卓 8.1 Oreo(2017 年 12月发布)，大约19% 还在运行 Android 9.0 Pie(2018 年 8 月发布)。

本文转自OSCHINA

本文标题：Project Zero 公布 4 个 Android 零日漏洞，目前已被修复

本文地址：https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days