Google於月初公布了5月的Android安全性公告,修補約50個安全漏洞,不過,本周Google Project
Zero的安全研究人員Maddie
Stone周三(5/19)通過Twitter表示,Google已更新了該公告,特別註明有4個漏洞已經遭到外部利用。
相關漏洞皆存在於GPU中,包含兩個源自高通GPU的CVE-2021-1905與CVE-2021-1906,另外兩個則是Arm Mali GPU中的CVE-2021-28663與CVE-2021-28664。
-
CVE-2021-1905:高通 – 由於對多個進程的內存映射處理不當,可能會出現 UAF。
-
CVE-2021-1906:高通 – 對失敗時的地址取消註冊處理不當,可能導致新的 GPU 地址分配失敗。
-
CVE-2021-28663:ARM – Mali GPU 內核驅動程序允許對 GPU 顯存進行不適當的操作。非特權用戶可對 GPU 顯存進行不當操作,以進入 “UAF” 情景,並可能獲得 root 權限,並泄露信息。
-
CVE-2021-28664:ARM – Mali GPU 內核驅動程序將 CPU RO 頁面提升為可寫。非特權用戶可以獲得對只讀內存的寫入權限,並可能獲得 root 權限,破壞內存和修改其他進程的內存。
研究人員Maddie Stone表示說這4個漏洞已經被外部利用,更新的Android公告則相對保守,表示相關漏洞可能已受到有限的目標式攻擊。
根據高通的說明,CVE-2021-1905屬於釋放后使用漏洞,源於Android無法妥善處理多程序內存映像;CVE-2021-1906則是在繪圖未動作時檢測到錯誤狀況,因無法處理註銷地址的錯誤,而造成新GPU位置分配的失敗。
ARM方面則表示,CVE-2021-28663漏洞出現在其核心驅動程序允許於GPU內存的不當操作,未獲特權的使用者可因此而進入釋放后使用場景,進而取得最高權限,或造成信息揭露。CVE-2021-28664則可把CPU只讀頁面變成可寫入,允許未獲特權的用戶寫入只讀存儲器,並取得最高權限、破壞內存或是竄改其它程序的內存。
不管是Google、高通或ARM,皆未公布相關漏洞的被利用場景或黑客目前是否有攻擊目的。