查看: 1587|回复: 7
收起左侧

[IT业界] Google Project Zero警告4个已被外部利用的Android系统0day缺陷

[复制链接]
蓝天二号
发表于 2021-5-23 12:36:40 | 显示全部楼层 |阅读模式
Google于月初公布了5月的Android安全性公告,修补约50个安全漏洞,不过,本周Google Project Zero的安全研究人员Maddie Stone周三(5/19)通过Twitter表示,Google已更新了该公告,特别注明有4个漏洞已经遭到外部利用。

相关漏洞皆存在于GPU中,包含两个源自高通GPU的CVE-2021-1905与CVE-2021-1906,另外两个则是Arm Mali GPU中的CVE-2021-28663与CVE-2021-28664。

CVE-2021-1905:高通 - 由于对多个进程的内存映射处理不当,可能会出现 UAF。

CVE-2021-1906:高通 - 对失败时的地址取消注册处理不当,可能导致新的 GPU 地址分配失败。

CVE-2021-28663:ARM - Mali GPU 内核驱动程序允许对 GPU 显存进行不适当的操作。非特权用户可对 GPU 显存进行不当操作,以进入 "UAF" 情景,并可能获得 root 权限,并泄露信息。

CVE-2021-28664:ARM - Mali GPU 内核驱动程序将 CPU RO 页面提升为可写。非特权用户可以获得对只读内存的写入权限,并可能获得 root 权限,破坏内存和修改其他进程的内存。
d5da25f37dd5690.png
研究人员Maddie Stone表示说这4个漏洞已经被外部利用,更新的Android公告则相对保守,表示相关漏洞可能已受到有限的目标式攻击。

根据高通的说明,CVE-2021-1905属于释放后使用漏洞,源于Android无法妥善处理多程序内存映像;CVE-2021-1906则是在绘图未动作时检测到错误状况,因无法处理注销地址的错误,而造成新GPU位置分配的失败。

ARM方面则表示,CVE-2021-28663漏洞出现在其核心驱动程序允许于GPU内存的不当操作,未获特权的使用者可因此而进入释放后使用场景,进而取得最高权限,或造成信息揭露。CVE-2021-28664则可把CPU只读页面变成可写入,允许未获特权的用户写入只读存储器,并取得最高权限、破坏内存或是窜改其它程序的内存。

不管是Google、高通或ARM,皆未公布相关漏洞的被利用场景或黑客目前是否有攻击目的。
liu浪的人
发表于 2021-5-23 12:51:37 | 显示全部楼层
已更新5月补丁的飘过
外太空人
发表于 2021-5-23 14:26:59 来自手机 | 显示全部楼层
坐等更新,快五月底了。。。
BFAX
头像被屏蔽
发表于 2021-5-23 19:06:43 | 显示全部楼层
反正国产UI也不会跟进更新
整数环
发表于 2021-5-24 06:41:25 来自手机 | 显示全部楼层
BFAX 发表于 2021-5-23 19:06
反正国产UI也不会跟进更新

你怎么知道不会更新,每个月的安全补丁是干什么的
BFAX
头像被屏蔽
发表于 2021-5-24 08:52:49 | 显示全部楼层
整数环 发表于 2021-5-24 06:41
你怎么知道不会更新,每个月的安全补丁是干什么的

就拿MIUI说,谷歌20年十月份推送的补丁,连PE都有了,MIUI官方11月旗舰机型才有、红米机型到年底都没见给更新补丁呢,你自己说干什么的
fyxqjy
发表于 2021-5-24 09:16:55 | 显示全部楼层
鸿蒙系统路过
黑岩松
发表于 2021-5-24 11:43:23 | 显示全部楼层
这种补丁和WINDOWS的一样,主要是心理作用,求心理安慰而已
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 18:34 , Processed in 0.139518 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表