Google 2021 年 5 月的 Android 操作系统更新共解决了 42 个漏洞,其中 4 个被标记为关键严重程度。新的安全补丁 2021-05-01 修复了三个主要的关键缺陷,这些缺陷在系统组件中被发现。这三个安全漏洞都确认可以被利用,可在有漏洞的设备上运行任意代码。
正如 Google 解释的那样,"这些问题中最严重的是系统组件中的一个关键安全漏洞,它可能使远程攻击者使用特制的文件在特权进程的上下文中执行任意代码"。另外,他们还表示,如果出于开发目的禁用平台和服务缓解措施,这样会导致攻击者成功绕过该漏洞,则严重性对该漏洞的影响等级更有可能更高。
Google 的智能手机操作系统有自己的安全系统,被称为 Android 安全平台,并依赖于 Google 游戏保护等服务保护措施。这些功能使 Android 系统的安全漏洞不太可能被成功利用。
2021-05-01 漏洞说明:
在框架部分,最严重的漏洞需要恶意的本地应用程序绕过用户的交互要求,因此可以获得额外的权限。这个漏洞被分为不同的跟踪名称,与相应的 Android 版本相关。CVE-2021-0472 影响 Android 9、10 和 11;CVE-2021-0485 仅影响 Android 11,CVE-2021-0487 仅影响 Android 11。
除了这些关键缺陷,Android 操作系统还对其他五个高危漏洞进行了修补。其中三个与权限提升有关,而另外两个则与信息泄露有关。
本月的第二个 Android 安全更新,即 2021-05-05 安全补丁级别的补丁,修复了操作系统组件的 29 个漏洞,包括内核、框架、AMLogic、ARM、联发科、紫光展锐、高通和高通闭源。
这些安全漏洞中最严重的是 CVE-2021-0467,这是一个在 AMLogic BootROM 中发现的关键漏洞,使攻击者甚至在进行数据签名之前就可以执行任意代码。
还有 28 个与 2021-05-05 安全补丁级别有关的漏洞,但其中只有一个被标记为中等严重程度,发现的其他 27 个问题被标记为高严重性。
访问官方安全公告获取更多细节:
https://source.android.com/security/bulletin/2021-05-01
