谷歌悄悄修复4个 0day
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
今天,谷歌更新了2021年5月的安卓安全公告称,本月修复的其中4个漏洞“可能已遭有限的针对性利用"。
除了发布这四个漏洞的CVE编号外,谷歌只给出CVE-2021-1905的详情。这四个漏洞影响 GPU 固件代码,其中2个影响 Arm Mali GPU 驱动,另外2个影响高通图形组件。
CVE-2021-1905:因对同时处理多个进程的内存映射处理不当可能造成释放后使用,影响 Snapdragon Auto、Snapdragon Compute、 Snapdragon Connectivity、Snapdragon Consumer IOT、Snapdragon Industrial IOT、Snapdragon Mobile、Snapdragon Voice & Music和Snapdragon Wearables。
CVE-2021-1906:对失败的地址注销的处理不当,可导致新的 GPU 地址分配失败,影响 Snapdragon Auto、Snapdragon Compute、 Snapdragon Connectivity、Snapdragon Consumer IOT、Snapdragon Industrial IOT、Snapdragon Mobile、Snapdragon Voice & Music和 Snapdragon Wearables。
CVE-2021-28663:由于 GPU 内存操作处理不当,导致Arm Mali GPU 内核驱动提权或信息泄露后果,进而导致使用后释放。该漏洞影响 Bifrost r29p0版本之前的r0p0至 r28p0 版本,Valhall r29p0 之前的 r19p0至 r28p0 版本,以及 Midgard r4p0 至r30p0 版本。
CVE-2021-28664:由于地权限用户可实现对只读页面的读写权限,因此 Arm Mali GPU内核驱动可导致权限提升或拒绝服务(内存损坏)漏洞。该漏洞影响 r29p0 之前的 r0p0 至 r28p0 版本、Valhall r29p0 之前的 r19p0至r28p0版本以及 Midgard r8p0至r30p0版本。
罕见的遭在野利用的安卓 0day
今天的更新是非常罕见的安卓漏洞遭在野利用的案例。通常攻击者会在目标攻击中在野利用 iOS 安全缺陷。
从谷歌 Project Zero 团队维护的列表中可知,从2014年起,只有6枚和安卓相关的0day 遭在野利用,而今天披露的4个占到了三分之二。之前遭利用的另外两个 0day 包括在今年1月份安全安全公告中修复的高通图形组件中漏洞 CVE-2021-11261以及据称由 NSO Group 开发且在2019年出售并滥用的安卓 exploit CVE-2019-2215。
尽管谷歌表示今天披露的这四个已遭利用 0day 已被用于目标攻击中,但用户应更新至最新的安卓操作系统版本。显然,并非所有智能手机受影响,只有使用 Arm 或高通 GPU 的智能手机才受影响。
本次安全更新可能由于某些智能手机厂商需要修复而延迟,不过发布时间在谷歌的 I/O 开发者大会期间以及在谷歌宣布安卓12版本一天后。这一安排导致很多安全专家猜测谷歌是否有意为之,以便将这四个 0day 的热度掩盖在其它的安卓相关资讯中。
谷歌发布的相关详情:https://googleprojectzero.github.io/0days-in-the-wild//0day-RCAs/2021/CVE-2021-1905.html
推荐阅读
近期 0day exploit 满天飞,原来是神秘的以色列公司 Candiru 在捣鬼
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day
原文链接
https://therecord.media/arm-and-qualcomm-zero-days-quietly-patched-in-this-months-android-security-updates/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
谷歌悄悄修复4个 0day相关推荐
- 详细分析谷歌紧急修复的 Chrome 0day(CVE-2021-21224)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本文作者 iamelli0t 发布文章,详细分析了谷歌于今天修复的两个近期备受关注的两个漏洞Chrome CVE-2021-21220 和 ...
- 谷歌紧急修复已遭在野利用的Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布适用于 Windows.Mac 和 Linux 系统的Chrome 94.0.4606.61 版本,紧急修复已遭在野利用的高危0day. ...
- 谷歌紧急修复已遭在野利用的0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 谷歌发布 Windows.Mac 和 Linux 版本的 Chrome 100.0.4896.127,修复已遭利用的高危0day漏洞(CV ...
- 谷歌紧急修复已遭利用的新 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,谷歌紧急修复已遭利用的 Chrome 0day (CVE-2022-1096),和 V8 JavaScript 引擎中的类型混淆漏洞有关 ...
- 谷歌紧急修复已遭在野利用的高危 V8 0day (CVE-2021-4102)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌为 Windows.Mac 和 Linux 系统发布 Chrome 96.0.4664.110 版本,修复一个已遭在野利用的位于V8 Jav ...
- Google Update Service 被曝提权 0day,谷歌拒绝修复
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 研究员Halov 最近研究了谷歌 Omaha Update 并创建了一些小工具和该服务进行通信并执行一些任务.结果他发现 Omaha ...
- 谷歌再修复已遭利用的两个高危 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌发布 Chrome 版本 86.0.4240.198,修复了两个已遭利用的 0day.不过这次并不像之前那样由谷歌内部团队发 ...
- 谷歌再次修复已遭利用的两枚高危0day (CVE-2020-16009/16010)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今天,谷歌为 Chrome Web 浏览器发布安全更新,修复了10个安全漏洞,其中包括两个目前已遭利用的高危0day:CVE-2020 ...
- 谷歌紧急修复今年已遭利用的第9个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 当地时间上周五,谷歌紧急修复已遭利用的Chrome 高危0day (CVE-2022-4262). 该漏洞是位于V8 JavaScript引擎中 ...
最新文章
- 炫酷,SpringBoot+Echarts实现用户访问地图可视化(附源码)
- 不同浏览器对URL最大长度的限制
- MYSQL GROUP_CONCAT 用法
- 完全删除垃圾Q+!!!
- element js 包含字符_selenium3.x(10)js弹框处理
- qcombobox 隐藏_Qt之QComboBox定制
- numpy-array
- 赛锐信息:SAP ABAP 环境
- ubuntu16.04--cuda
- BZOJ 3779 LCT 线段树 DFS序 坑
- 工科数学分析之数学感悟
- intel ax200ngw刷killer 1650x教程
- 方维P2P短信接口修改
- 【NISP一级】考前必刷九套卷(九)
- Android常用控件-01
- kotlin发音!2021年Android面试心得,安卓系列学习进阶视频
- 摩根大通的企业级区块链解决方案—Quorum
- 头脑王者_头脑令人困惑
- 微信团队披露:微信界面卡死超级bug“15。。。。”的来龙去脉
- github博客迁移——图床搭建
热门文章
- 对二维数组排序 使得每行每列非递减
- 基于webview的选择滑动控件(PC和wap版)
- Oracle中监听程序无法识别连接描述符中的请求的服务解决办法
- python安装pymssql等包时出现microsoft visual c++ 14.0 is required问题无需下载visualcppbuildtools的解决办法...
- Office 365 On MacOS 系列——配置浏览器账号同时管理多个订阅
- 【吴恩达机器学习】学习笔记——1.3机器学习的定义
- Linux也使用多线程下载
- centos vmware centos6.6 64位 kvm虚拟化安装配置 第四十二节课
- Myeclipse 操作技巧
- Android--UI布局