2020年7月，谷歌安全研究人員向高通報(bào)告了一個(gè)高通芯片集漏洞，攻擊者利用該芯片集漏洞可以發(fā)起針對(duì)安卓設(shè)備的定向攻擊。漏洞CVE編號(hào)CVE-2020-11261，CVSS 評(píng)分8.4分，是高通圖形卡組件中的不當(dāng)輸入驗(yàn)證漏洞，攻擊者利用該漏洞可以發(fā)起對(duì)設(shè)備內(nèi)存塊的訪問(wèn)來(lái)觸發(fā)內(nèi)存破壞。

需要注意的是該漏洞的訪問(wèn)向量是本地，也就是說(shuō)漏洞利用需要有對(duì)設(shè)備的本地訪問(wèn)權(quán)限。換句話說(shuō)，為成功發(fā)起攻擊，攻擊者需要能夠?qū)υO(shè)備有物理訪問(wèn)權(quán)限，或用水坑攻擊等其他方式來(lái)傳播惡意代碼以開啟攻擊鏈。

根據(jù)1月份發(fā)布的安全公告，受影響的芯片集包括：

3月18日，谷歌在1月份發(fā)布的安全公告中更新稱，CVE-2020-11261可能存在在野漏洞利用。但是對(duì)于攻擊活動(dòng)的具體情況，包括攻擊者、受害者等，都沒(méi)有公開。

該漏洞已經(jīng)于2021年1月發(fā)布了安全補(bǔ)丁。研究人員建議用戶盡快安裝補(bǔ)丁，進(jìn)行安全更新。

本文翻譯自：https://thehackernews.com/2021/03/warning-new-android-zero-day.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。