Android 發(fā)布2021年5月更新

路通

Google 2021年5月的Android操作系統(tǒng)更新共解決了42個(gè)漏洞，其中4個(gè)被標(biāo)記為關(guān)鍵嚴(yán)重程度。新的安全補(bǔ)丁修復(fù)了3個(gè)主要的關(guān)鍵缺陷，這些缺陷在系統(tǒng)組件中被發(fā)現(xiàn)。這3個(gè)安全漏洞都確認(rèn)可以被利用，可在有漏洞的設(shè)備上運(yùn)行任意代碼。

正如Google解釋的那樣，“這些問(wèn)題中最嚴(yán)重的是系統(tǒng)組件中的一個(gè)關(guān)鍵安全漏洞，它可能使遠(yuǎn)程攻擊者使用特制的文件在特權(quán)進(jìn)程的上下文中執(zhí)行任意代碼”;另外，他們還表示，出于開(kāi)發(fā)目的禁用平臺(tái)和服務(wù)緩解措施，會(huì)導(dǎo)致攻擊者成功繞過(guò)該漏洞，所以從嚴(yán)重性看該漏洞的影響等級(jí)有可能更高。

Google的智能手機(jī)操作系統(tǒng)有自己的安全系統(tǒng)，被稱為Android安全平臺(tái)，并依賴于Google游戲保護(hù)服務(wù)等保護(hù)措施。這些功能使Android系統(tǒng)的安全漏洞不太可能被成功利用。

在框架部分，最嚴(yán)重的漏洞需要惡意的本地應(yīng)用程序繞過(guò)用戶的交互要求，因此可以獲得額外的權(quán)限。這個(gè)漏洞被分為不同的跟蹤名稱，與Android系統(tǒng)的版本相關(guān)。CVE-2021-0472影口向Android 9-11;CVE-2021-0485和CVE-2021-0487僅影響Android 11。

除了這些關(guān)鍵缺陷，Android操作系統(tǒng)還對(duì)其他5個(gè)高危漏洞進(jìn)行了修補(bǔ)。其中3個(gè)與權(quán)限提升有關(guān)，而另外2個(gè)則與信息泄露有關(guān)。

本月的第二個(gè)Android安全更新，即2021-05-05安全補(bǔ)丁，修復(fù)了操作系統(tǒng)組件的29個(gè)漏洞，包括內(nèi)核、框架、AMLogic、ARM、聯(lián)發(fā)科、紫光展銳、高通和高通閉源。

這些安全漏洞中最嚴(yán)重的是CVE-2021-0467，這是一個(gè)在AMLogic BootROM中發(fā)現(xiàn)的關(guān)鍵漏洞，甚至可讓攻擊者在進(jìn)行數(shù)據(jù)簽名之前就可以執(zhí)行任意代碼。

還有28個(gè)與2021-05-05安全補(bǔ)丁級(jí)別有關(guān)的漏洞，但其中只有一個(gè)被標(biāo)記為中等嚴(yán)重程度，發(fā)現(xiàn)的其他27個(gè)問(wèn)題被標(biāo)記為高嚴(yán)重性。