谷歌近日推出了一个以安全为主题的Android更新,修复了30多个安全漏洞,这些漏洞会导致移动用户面临一系列恶意攻击。其中最严重的是媒体框架中的一个漏洞,该漏洞可能导致Android 8.1和9设备上的特权提升,或Android 10和11上的信息泄露。该漏洞被跟踪为 CVE-2021-0519。
“这些问题中最严重的是媒体框架组件中的一个高危安全漏洞,它可以使本地恶意应用程序绕过将应用程序数据与其他应用程序隔离的操作系统保护。”谷歌的一份公告称。
谷歌8月1日发布的安全更新包括了对Framework中三个高严重性提权漏洞的修复,以及安卓系统中两个提权漏洞和三个信息泄漏漏洞的修复。后五个漏洞均被评为高严重性漏洞;谷歌8月5日发布的安全更新的第二部分,修复了总共24个影响内核组件、联发科组件、Widevine DRM、高通组件和高通闭源组件的漏洞。
这些问题中最严重的是释放后重用漏洞,它可能允许攻击者以内核权限执行任意代码。攻击者利用该漏洞可以在特权进程的上下文中远程执行代码,并根据与此应用程序关联的权限,来安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
除了上述针对Android安全公告解决的漏洞外,谷歌还修复了三个特定于Pixel设备的中等严重性漏洞。其中包括Pixel组件中的特权提升,以及Qualcomm闭源组件中的另外两个未指明的漏洞。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】