在本月初發布的2021年5月的Android安全公告中，您可以找到與Android用戶有關的幾個組件中約40個漏洞的列表。根據Google Project Zero團隊提供的信息，其中4個安卓安全漏洞被當作0 day漏洞在野外被利用。

好消息是目前有可用的補丁程序。但是Android補丁更新的問題是，作為一個用戶，這些補丁的更新依賴于你的上游供應商(設備制造商)。

[[401600]]

Android更新升級

對于Android用戶來說，何時獲得最新更新總是未知的。Android設備在很多方面都像是一臺計算機，需要定期更新。

更新是對現有Android版本進行改進后，這些更新會定期發布。升級是指您進行下載安裝，使設備獲得更高的Android版本。通常，只要設備系統版本保持最新，設備就可以正常運行。

設備更新取決于誰?

Google是開發Android操作系統(它本身是Linux的一種)的公司，并且該公司也一直保持版本的最新狀態，同時也是創建安全補丁程序的公司。但是隨著該軟件移交給了設備制造商，后者會為自己的設備創建了自己的版本。

因此，您的設備什么時候可以獲得最新更新，這取決于設備的制造商，而某些制造商的設備可能永遠都不會更新。

嚴重漏洞

在說明中，公告指出有跡象表明CVE-2021-1905，CVE-2021-1906，CVE-2021-28663和CVE-2021-28664可能受到有針對性的利用。公開披露的計算機安全漏洞(CVE)暴露在數據庫中。在野外可能被濫用的四個是：

(1) CVE-2021-1905可能由于同時處理多個進程的內存映射不正確而免費使用。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(2) CVE-2021-1906失敗時對地址注銷的不當處理可能導致新的GPU地址分配失敗。在Snapdragon Auto，Snapdragon Compute，Snapdragon Connectivity，Snapdragon Consumer IOT，Snapdragon Industrial IOT，Snapdragon Mobile，Snapdragon Voice&Music，Snapdragon Wearables中使用。

(3) CVE-2021-28663 Arm Mali GPU內核驅動程序允許特權提升或信息泄露，因為GPU內存操作處理不當，導致了先后使用。這會影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r4p0到r30p0。

(4) CVE-2021-28664 Arm Mali GPU內核驅動程序允許特權升級或服務拒絕(內存損壞)，因為非特權用戶可以實現對只讀頁面的讀/寫訪問。這會影響在r29p0之前的Bifrost r0p0到r28p0，在r29p0之前的Valhall r19p0到r28p0，以及Midgard r8p0到r30p0。

像CVE-2021-1905一樣的免費使用(UAF)漏洞是由于程序運行期間對動態內存的不正確使用而引起的。如果釋放內存位置后，程序沒有清除指向該內存的指針，則攻擊者可以使用該漏洞來操縱程序。

Snapdragon是一套由高通技術公司設計和銷售的用于移動設備的片上系統(SoC)半導體產品。

Arm Mali GPU是圖形處理單元，適用于由Arm開發的各種移動設備，從智能手表到自動駕駛汽車。

緩解措施

您可以通過檢查安全修補程序級別來判斷設備是否受到保護。

2021-05-01或更高版本的安全補丁程序級別解決了與2021-05-01安全補丁程序級別相關的所有問題。

2021-05-05或更高版本的安全補丁程序級別解決了與2021-05-05安全補丁程序級別和所有以前的補丁程序級別相關的所有問題。

我們很想告訴您請緊急修補，但是正如我們所解釋的，這取決于設備制造商。

本文翻譯自：

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/05/android-patches-for-4-in-the-wild-bugs-are-out-but-when-will-you-get-them/