谷歌本月发布Android安全更新,共修复了39个安全漏洞,其中包含一个0day漏洞,该漏洞已在一些针对性的攻击中被广泛利用。
该零日漏洞号为 CVE-2021-1048 ,被描述为内核中的一个内存释放后利用的漏洞,可用于本地提权。内存释放漏洞是非常危险的,因为它可能使黑客能够在内存释放后访问或引用内存,从而导致任意代码执行以获取系统的权限。
根据网络安全行业门户极牛网JIKENB.COM的梳理,安全补丁中还修复了系统组件中的2个关键远程代码执行 (RCE) 漏洞:CVE-2021-0918 和 CVE-2021-0930。它们可能允许远程攻击者通过以下方式在特权进程的上下文中执行恶意代码向目标设备发送特制的传输。
另外2个严重漏洞 CVE-2021-1924 和 CVE-2021-1975 影响 Qualcomm 闭源组件,而 Android TV 中的第五个严重漏洞 (CVE-2021-0889) 可能允许靠近的攻击者悄悄地在电视中执行任意代码,无需特权或用户交互。
随着本轮的安全更新,谷歌已经解决了共6个零日Android安全漏洞,其余5个漏洞如下:
CVE-2020-11261(CVSS 评分:8.4)- Qualcomm Graphics 组件中的输入验证不正确;CVE-2021-1905(CVSS 评分:8.4)- Qualcomm Graphics 组件中的 Use-after-free;CVE-2021-1906(CVSS 评分:6.2) – 在 Qualcomm Graphics 组件中检测错误情况而无需操作;CVE-2021-28663(CVSS 评分:8.8)- Mali GPU 内核驱动程序允许对 GPU 内存进行不当操作;CVE-2021-28664(CVSS 评分:8.8)- Mali GPU 内核驱动程序将 CPU RO 页面提升为可写;