Android的5月安全更新已有4个漏洞遭到开采

Google于月初公布了5月的Android安全性公告，修补约50个安全漏洞，不过，本周Google Project Zero的安全研究人员Maddie Stone周三（5/19）透过Twitter表示，Google已更新了该公告，注明有4个漏洞已经遭到开采，相关漏洞皆存在于GPU中，包含两个源自高通GPU的CVE-2021-1905与CVE-2021-1906，另外两个则是Arm Mali GPU中的CVE-2021-28663与CVE-2021-28664。

Stone直接说这4个漏洞已经被开采，更新的Android公告则相对保守，表示相关漏洞可能已受到有限的目标式攻击。

根据高通的说明，CVE-2021-1905属于释放后使用漏洞，肇因于无法妥善处理多程序内存映射；CVE-2021-1906则是在绘图未动作时侦测到错误状况，是因无法处理注销地址的错误，而造成新GPU位置分配的失败。

Arm则说，CVE-2021-28663漏洞出现在其核心驱动程式允许于GPU内存的不当操作，未获特权的使用者可因此而进入释放后使用场景，进而取得最高权限，或造成资讯揭露。CVE-2021-28664则可把CPU只读页面变成可写入，允许未获特权的用户写入只读内存，并取得最高权限、破坏内存或是窜改其它程序的内存。

不管是Google、高通或Arm，皆未公布相关漏洞的开采场景或骇客的开采目的。