Google于月初公布了5月的Android安全性公告,修补约50个安全漏洞,不过,本周Google Project Zero的安全研究人员Maddie Stone周三(5/19)通过Twitter表示,Google已更新了该公告,注明有4个漏洞已经遭到开采,相关漏洞皆存在于GPU中,包含两个源自高通GPU的CVE-2021-1905与CVE-2021-1906,另外两个则是Arm Mali GPU中的CVE-2021-28663与CVE-2021-28664。
Stone直接说这4个漏洞已经被开采,更新的Android公告则相对保守,表示相关漏洞可能已受到有限的目标式攻击。
根据高通的说明,CVE-2021-1905属于释放后使用漏洞,起因于无法妥善处理多程序内存映射;CVE-2021-1906则是在绘图未动作时侦测到错误状况,是因无法处理注销地址的错误,而造成新GPU位置分配的失败。
Arm则说,CVE-2021-28663漏洞出现在其核心驱动程序允许于GPU内存的不当操作,未获特权的用户可因此而进入释放后使用场景,进而取得最高权限,或造成信息披露。CVE-2021-28664则可把CPU只读页面变成可写入,允许未获特权的用户写入只读内存,并取得最高权限、破坏内存或是篡改其它程序的内存。
不管是Google、高通或Arm,皆未公布相关漏洞的开采场景或黑客的开采目的。