根據 Google Project Zero 團隊提供的信息，四個在野外被利用的 Android 零日安全漏洞在本月早些時候被修復。試圖利用這些漏洞的攻擊是有針對性的，并已影響了數量有限的用戶。

[[401453]]

Android 安全公告顯示，"有跡象表明，CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能受到有限的、有針對性的利用"。這四個 Android 漏洞影響了高通 GPU 和 Arm Mali GPU 驅動組件。

高通公司和 Arm 公司已經通過單獨發(fā)布的安全公告公布了每個漏洞的進一步細節(jié)。如果 Android 用戶受到這些問題的影響，建議盡快安裝該安全更新。

CVE-2021-1905：高通 - 由于對多個進程的內存映射處理不當，可能會出現 UAF。

CVE-2021-1906：高通 - 對失敗時的地址取消注冊處理不當，可能導致新的 GPU 地址分配失敗。

CVE-2021-28663：ARM - Mali GPU 內核驅動程序允許對 GPU 顯存進行不適當的操作。非特權用戶可對 GPU 顯存進行不當操作，以進入 "UAF" 情景，并可能獲得 root 權限，并泄露信息。

CVE-2021-28664：ARM - Mali GPU 內核驅動程序將 CPU RO 頁面提升為可寫。非特權用戶可以獲得對只讀內存的寫入權限，并可能獲得 root 權限，破壞內存和修改其他進程的內存。

不過需要注意的是，根據不用廠商對設備的支持程序，Android 設備通常只有 3-4 年的安全更新支持，因此對于一些手持較舊設備的用戶而言可能就無法安裝這些補丁。

根據 StatCounter 的統計數據，目前仍有超過 9% 的 Android 設備仍在運行安卓 8.1 Oreo(2017 年 12 月發(fā)布)，大約 19% 還在運行 Android 9.0 Pie(2018 年 8 月發(fā)布)。

本文轉自OSCHINA

本文標題：Project Zero 公布 4 個 Android 零日漏洞，目前已被修復

本文地址：https://www.oschina.net/news/142775/android-security-updates-patch-4-zero-days