2020年7月，谷歌安全研究人員向高通報告了一個高通芯片集漏洞，攻擊者利用該芯片集漏洞可以發(fā)起針對安卓設(shè)備的定向攻擊。漏洞CVE編號CVE-2020-11261，CVSS 評分8.4分，是高通圖形卡組件中的不當(dāng)輸入驗證漏洞，攻擊者利用該漏洞可以發(fā)起對設(shè)備內(nèi)存塊的訪問來觸發(fā)內(nèi)存破壞。

需要注意的是該漏洞的訪問向量是本地，也就是說漏洞利用需要有對設(shè)備的本地訪問權(quán)限。換句話說，為成功發(fā)起攻擊，攻擊者需要能夠?qū)υO(shè)備有物理訪問權(quán)限，或用水坑攻擊等其他方式來傳播惡意代碼以開啟攻擊鏈。

根據(jù)1月份發(fā)布的安全公告，受影響的芯片集包括：

3月18日，谷歌在1月份發(fā)布的安全公告中更新稱，CVE-2020-11261可能存在在野漏洞利用。但是對于攻擊活動的具體情況，包括攻擊者、受害者等，都沒有公開。

該漏洞已經(jīng)于2021年1月發(fā)布了安全補(bǔ)丁。研究人員建議用戶盡快安裝補(bǔ)丁，進(jìn)行安全更新。

本文翻譯自：https://thehackernews.com/2021/03/warning-new-android-zero-day.html如若轉(zhuǎn)載，請注明原文地址。