在本月初發(fā)布的2021年5月的Android安全公告中,您可以找到與Android用戶有關(guān)的幾個(gè)組件中約40個(gè)漏洞的列表。根據(jù)Google Project Zero團(tuán)隊(duì)提供的信息�,其中4個(gè)安卓安全漏洞被當(dāng)作0 day漏洞在野外被利用����。
好消息是目前有可用的補(bǔ)丁程序����。但是Android補(bǔ)丁更新的問題是��,作為一個(gè)用戶���,這些補(bǔ)丁的更新依賴于你的上游供應(yīng)商(設(shè)備制造商)�����。
Android更新升級(jí)
對(duì)于Android用戶來說���,何時(shí)獲得最新更新總是未知的�����。Android設(shè)備在很多方面都像是一臺(tái)計(jì)算機(jī)���,需要定期更新。
更新是對(duì)現(xiàn)有Android版本進(jìn)行改進(jìn)后��,這些更新會(huì)定期發(fā)布����。升級(jí)是指您進(jìn)行下載安裝,使設(shè)備獲得更高的Android版本���。通常���,只要設(shè)備系統(tǒng)版本保持最新,設(shè)備就可以正常運(yùn)行�����。
設(shè)備更新取決于誰?
Google是開發(fā)Android操作系統(tǒng)(它本身是Linux的一種)的公司�����,并且該公司也一直保持版本的最新狀態(tài),同時(shí)也是創(chuàng)建安全補(bǔ)丁程序的公司�。但是隨著該軟件移交給了設(shè)備制造商,后者會(huì)為自己的設(shè)備創(chuàng)建了自己的版本�����。
因此�,您的設(shè)備什么時(shí)候可以獲得最新更新,這取決于設(shè)備的制造商����,而某些制造商的設(shè)備可能永遠(yuǎn)都不會(huì)更新��。
嚴(yán)重漏洞
在說明中�,公告指出有跡象表明CVE-2021-1905,CVE-2021-1906�,CVE-2021-28663和CVE-2021-28664可能受到有針對(duì)性的利用。公開披露的計(jì)算機(jī)安全漏洞(CVE)暴露在數(shù)據(jù)庫(kù)中��。在野外可能被濫用的四個(gè)是:
(1) CVE-2021-1905可能由于同時(shí)處理多個(gè)進(jìn)程的內(nèi)存映射不正確而免費(fèi)使用�。在Snapdragon Auto,Snapdragon Compute�����,Snapdragon Connectivity,Snapdragon Consumer IOT���,Snapdragon Industrial IOT�����,Snapdragon Mobile����,Snapdragon Voice&Music�����,Snapdragon Wearables中使用���。
(2) CVE-2021-1906失敗時(shí)對(duì)地址注銷的不當(dāng)處理可能導(dǎo)致新的GPU地址分配失敗���。在Snapdragon Auto,Snapdragon Compute����,Snapdragon Connectivity����,Snapdragon Consumer IOT���,Snapdragon Industrial IOT����,Snapdragon Mobile���,Snapdragon Voice&Music���,Snapdragon Wearables中使用。
(3) CVE-2021-28663 Arm Mali GPU內(nèi)核驅(qū)動(dòng)程序允許特權(quán)提升或信息泄露�,因?yàn)镚PU內(nèi)存操作處理不當(dāng),導(dǎo)致了先后使用�����。這會(huì)影響在r29p0之前的Bifrost r0p0到r28p0�����,在r29p0之前的Valhall r19p0到r28p0����,以及Midgard r4p0到r30p0。
(4) CVE-2021-28664 Arm Mali GPU內(nèi)核驅(qū)動(dòng)程序允許特權(quán)升級(jí)或服務(wù)拒絕(內(nèi)存損壞)���,因?yàn)榉翘貦?quán)用戶可以實(shí)現(xiàn)對(duì)只讀頁(yè)面的讀/寫訪問�。這會(huì)影響在r29p0之前的Bifrost r0p0到r28p0�,在r29p0之前的Valhall r19p0到r28p0,以及Midgard r8p0到r30p0��。
像CVE-2021-1905一樣的免費(fèi)使用(UAF)漏洞是由于程序運(yùn)行期間對(duì)動(dòng)態(tài)內(nèi)存的不正確使用而引起的���。如果釋放內(nèi)存位置后�����,程序沒有清除指向該內(nèi)存的指針����,則攻擊者可以使用該漏洞來操縱程序�。
Snapdragon是一套由高通技術(shù)公司設(shè)計(jì)和銷售的用于移動(dòng)設(shè)備的片上系統(tǒng)(SoC)半導(dǎo)體產(chǎn)品。
Arm Mali GPU是圖形處理單元����,適用于由Arm開發(fā)的各種移動(dòng)設(shè)備�,從智能手表到自動(dòng)駕駛汽車����。
緩解措施
您可以通過檢查安全修補(bǔ)程序級(jí)別來判斷設(shè)備是否受到保護(hù)。
2021-05-01或更高版本的安全補(bǔ)丁程序級(jí)別解決了與2021-05-01安全補(bǔ)丁程序級(jí)別相關(guān)的所有問題�。
2021-05-05或更高版本的安全補(bǔ)丁程序級(jí)別解決了與2021-05-05安全補(bǔ)丁程序級(jí)別和所有以前的補(bǔ)丁程序級(jí)別相關(guān)的所有問題。
我們很想告訴您請(qǐng)緊急修補(bǔ)�����,但是正如我們所解釋的�����,這取決于設(shè)備制造商�。
本文翻譯自:
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/android-patches-for-4-in-the-wild-bugs-are-out-but-when-will-you-get-them/
當(dāng)前標(biāo)題:Android出現(xiàn)了4個(gè)被在野利用的漏洞
網(wǎng)站路徑:
http://uogjgqi.cn/article/dpeoiso.html
