零号计划公布了4个Android零日漏洞,现已修复试图利用这些漏洞的攻击已成为目标,并影响了有限数量的用户。“有迹象表明,CVE-2021-1905、CVE-2021-1906、CVE-2021-28663和CVE-2021-28664可能会受到有限的、有针对性的利用,”Android安全公告称。这四个Android漏洞影响QualcommGPU和ArmMaliGPU驱动程序组件。Qualcomm和Arm在单独的安全公告中发布了每个漏洞的更多详细信息。建议受这些问题影响的Android用户尽快安装安全更新。CVE-2021-1905:Qualcomm-由于对多个进程的内存映射处理不当,可能会发生UAF。CVE-2021-1906:Qualcomm-对失败的地址注销处理不当可能会导致新的GPU地址分配失败。CVE-2021-28663:ARM-MaliGPU内核驱动程序允许对GPU内存进行不当操作。非特权用户可能会不恰当地操纵GPU内存以进入“UAF”场景,从而可能获得root权限并泄露信息。CVE-2021-28664:ARM-MaliGPU内核驱动程序将CPURO页面提升为可写。非特权用户可以获得对只读内存的写访问权限,并可能获得root权限,破坏内存并修改其他进程的内存。不过需要注意的是,Android设备通常只有3-4年的安全更新支持,具体取决于制造商对设备的支持计划,因此一些使用较旧设备的用户可能无法安装这些补丁。根据StatCounter的数据,超过9%的Android设备仍在运行Android8.1Oreo(2017年12月发布),约19%仍在运行Android9.0Pie(2018年8月发布)。本文转自OSCHINA文章标题:零号计划公布4个Android零日漏洞,目前已修复
