2020年7月，谷歌安全研究人員向高通報告了一個高通芯片集漏洞，攻擊者利用該芯片集漏洞可以發(fā)起針對安卓設備的定向攻擊。漏洞CVE編號CVE-2020-11261，CVSS 評分8.4分，是高通圖形卡組件中的不當輸入驗證漏洞，攻擊者利用該漏洞可以發(fā)起對設備內存塊的訪問來觸發(fā)內存破壞。

需要注意的是該漏洞的訪問向量是本地，也就是說漏洞利用需要有對設備的本地訪問權限。換句話說，為成功發(fā)起攻擊，攻擊者需要能夠對設備有物理訪問權限，或用水坑攻擊等其他方式來傳播惡意代碼以開啟攻擊鏈。

根據1月份發(fā)布的安全公告，受影響的芯片集包括：

3月18日，谷歌在1月份發(fā)布的安全公告中更新稱，CVE-2020-11261可能存在在野漏洞利用。但是對于攻擊活動的具體情況，包括攻擊者、受害者等，都沒有公開。

該漏洞已經于2021年1月發(fā)布了安全補丁。研究人員建議用戶盡快安裝補丁，進行安全更新。

本文翻譯自：https://thehackernews.com/2021/03/warning-new-android-zero-day.html如若轉載，請注明原文地址。