2020年7月,谷歌安全研究人员报告了高通芯片组漏洞,可对安卓设备进行定向攻击。该漏洞CVE编号CVE-2020-11261,CVSS评分8.4分,是高通显卡组件中存在的输入验证不当漏洞,攻击者可利用该漏洞发起对设备内存块的访问,从而触发内存损坏。需要注意的是,此漏洞的访问向量是本地的,这意味着该漏洞需要对设备进行本地访问。换句话说,要使攻击成功,攻击者需要对设备进行物理访问,或通过水坑攻击等其他方式传播恶意代码以启动攻击链。根据1月份发布的安全公告,受影响的芯片组包括:3月18日,谷歌在1月份发布的安全公告中更新,CVE-2020-11261可能存在漏洞。不过,攻击活动的细节,包括攻击者和受害者,都没有公开。已于2021年1月发布针对该漏洞的安全补丁。研究人员建议用户尽快安装补丁和安全更新。本文翻译自:https://thehackernews.com/2021/03/warning-new-android-zero-day.html如有转载请注明原文地址。
