Срочно. Google раскрыла информацию о четырёх уязвимостях нулевого дня

Google раскрыла информацию о четырёх уязвимостях нулевого дня для Android. Фото: Pixabay

Из сообщения компании Google:

«Есть признаки того, что CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 и CVE-2021-28664 могут подвергаться ограниченному целевому использованию»

Четыре недостатка влияют на модули Qualcomm Graphics и Arm Mali GPU Driver:

• CVE-2021-1905 (оценка по CVSS: 8,4) - недостаток в графическом компоненте Qualcomm из-за неправильной обработки отображения памяти нескольких процессов одновременно.
• CVE-2021-1906 (оценка по CVSS: 6,2) - Недостаток, связанный с неправильной обработкой отмены регистрации адресов, которая могла привести к сбою распределения адресов нового GPU.
• CVE-2021-28663 (оценка CVSS: NA) - уязвимость в ядре графического процессора Arm Mali, которая может позволить непривилегированному пользователю получить права root или раскрыть информацию.
• CVE-2021-28664 (оценка CVSS: нет данных) - непривилегированный пользователь может получить доступ для чтения / записи к постоянной памяти, что позволяет повысить привилегии или отказать в обслуживании (DoS) из-за повреждения памяти.

Уязвимости могут дать возможность злоумышленнику  захватить устройство. Информация о состоявшихся успешных атаках не разглашается, однако, как утверждается, это один из редких случаев, когда ошибки нулевого дня в Android были обнаружены в реальных киберпреступлениях.

Компания призывает следить за появлением патчей и своевременно обновлять ПО на устройствах.