情境示意圖,Photo by Shiwa ID on unsplash

Google於月初公布了5月的Android安全性公告,修補約50個安全漏洞,不過,本周Google Project Zero的安全研究人員Maddie Stone周三(5/19)透過Twitter表示,Google已更新了該公告,註明有4個漏洞已經遭到開採,相關漏洞皆存在於GPU中,包含兩個源自高通GPU的CVE-2021-1905與CVE-2021-1906,另外兩個則是Arm Mali GPU中的CVE-2021-28663與CVE-2021-28664。

Stone直接說這4個漏洞已經被開採,更新的Android公告則相對保守,表示相關漏洞可能已受到有限的目標式攻擊。

根據高通的說明,CVE-2021-1905屬於釋放後使用漏洞,肇因於無法妥善處理多程序記憶體映射;CVE-2021-1906則是在繪圖未動作時偵測到錯誤狀況,是因無法處理註銷地址的錯誤,而造成新GPU位置分配的失敗。

Arm則說,CVE-2021-28663漏洞出現在其核心驅動程式允許於GPU記憶體的不當操作,未獲特權的使用者可因此而進入釋放後使用場景,進而取得最高權限,或造成資訊揭露。CVE-2021-28664則可把CPU唯讀頁面變成可寫入,允許未獲特權的用戶寫入唯讀記憶體,並取得最高權限、破壞記憶體或是竄改其它程序的記憶體。

不管是Google、高通或Arm,皆未公布相關漏洞的開採場景或駭客的開採目的。

熱門新聞

Advertisement