在本月初發(fā)布的2021年5月的Android安全公告中，您可以找到與Android用戶有關(guān)的幾個組件中約40個漏洞的列表。根據(jù)Google Project Zero團隊提供的信息，其中4個安卓安全漏洞被當(dāng)作0 day漏洞在野外被利用。

好消息是目前有可用的補丁程序。但是Android補丁更新的問題是，作為一個用戶，這些補丁的更新依賴于你的上游供應(yīng)商(設(shè)備制造商)。

[[401600]]

Android更新升級

對于Android用戶來說，何時獲得最新更新總是未知的。Android設(shè)備在很多方面都像是一臺計算機，需要定期更新。

更新是對現(xiàn)有Android版本進(jìn)行改進(jìn)后，這些更新會定期發(fā)布。升級是指您進(jìn)行下載安裝，使設(shè)備獲得更高的Android版本。通常，只要設(shè)備系統(tǒng)版本保持最新，設(shè)備就可以正常運行。

設(shè)備更新取決于誰?

Google是開發(fā)Android操作系統(tǒng)(它本身是Linux的一種)的公司，并且該公司也一直保持版本的最新狀態(tài)，同時也是創(chuàng)建安全補丁程序的公司。但是隨著該軟件移交給了設(shè)備制造商，后者會為自己的設(shè)備創(chuàng)建了自己的版本。

因此，您的設(shè)備什么時候可以獲得最新更新，這取決于設(shè)備的制造商，而某些制造商的設(shè)備可能永遠(yuǎn)都不會更新。

嚴(yán)重漏洞

在說明中，公告指出有跡象表明CVE-2021-1905，CVE-2021-1906，CVE-2021-28663和CVE-2021-28664可能受到有針對性的利用。公開披露的計算機安全漏洞(CVE)暴露在數(shù)據(jù)庫中。在野外可能被濫用的四個是：

(1) CVE-2021-1905可能由于同時處理多個進(jìn)程的內(nèi)存映射不正確而免費使用。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(2) CVE-2021-1906失敗時對地址注銷的不當(dāng)處理可能導(dǎo)致新的GPU地址分配失敗。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(3) CVE-2021-28663 Arm Mali GPU內(nèi)核驅(qū)動程序允許特權(quán)提升或信息泄露，因為GPU內(nèi)存操作處理不當(dāng)，導(dǎo)致了先后使用。這會影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r4p0到r30p0。

(4) CVE-2021-28664 Arm Mali GPU內(nèi)核驅(qū)動程序允許特權(quán)升級或服務(wù)拒絕(內(nèi)存損壞)，因為非特權(quán)用戶可以實現(xiàn)對只讀頁面的讀/寫訪問。這會影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r8p0到r30p0。

像CVE-2021-1905一樣的免費使用(UAF)漏洞是由于程序運行期間對動態(tài)內(nèi)存的不正確使用而引起的。如果釋放內(nèi)存位置后，程序沒有清除指向該內(nèi)存的指針，則攻擊者可以使用該漏洞來操縱程序。

Snapdragon是一套由高通技術(shù)公司設(shè)計和銷售的用于移動設(shè)備的片上系統(tǒng)(SoC)半導(dǎo)體產(chǎn)品。

Arm Mali GPU是圖形處理單元，適用于由Arm開發(fā)的各種移動設(shè)備，從智能手表到自動駕駛汽車。

緩解措施

您可以通過檢查安全修補程序級別來判斷設(shè)備是否受到保護(hù)。

2021-05-01或更高版本的安全補丁程序級別解決了與2021-05-01安全補丁程序級別相關(guān)的所有問題。

2021-05-05或更高版本的安全補丁程序級別解決了與2021-05-05安全補丁程序級別和所有以前的補丁程序級別相關(guān)的所有問題。

我們很想告訴您請緊急修補，但是正如我們所解釋的，這取決于設(shè)備制造商。

本文翻譯自：

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/android-patches-for-4-in-the-wild-bugs-are-out-but-when-will-you-get-them/