谷歌近日推出了一個(gè)以安全為主題的Android更新，修復(fù)了30多個(gè)安全漏洞，這些漏洞會(huì)導(dǎo)致移動(dòng)用戶(hù)面臨一系列惡意攻擊。其中最嚴(yán)重的是媒體框架中的一個(gè)漏洞，該漏洞可能導(dǎo)致Android 8.1和9設(shè)備上的特權(quán)提升，或Android 10和11上的信息泄露。該漏洞被跟蹤為 CVE-2021-0519。

　　“這些問(wèn)題中最嚴(yán)重的是媒體框架組件中的一個(gè)高危安全漏洞，它可以使本地惡意應(yīng)用程序繞過(guò)將應(yīng)用程序數(shù)據(jù)與其他應(yīng)用程序隔離的操作系統(tǒng)保護(hù)?！惫雀璧囊环莨娣Q(chēng)。

　　谷歌8月1日發(fā)布的安全更新包括了對(duì)Framework中三個(gè)高嚴(yán)重性提權(quán)漏洞的修復(fù)，以及安卓系統(tǒng)中兩個(gè)提權(quán)漏洞和三個(gè)信息泄漏漏洞的修復(fù)。后五個(gè)漏洞均被評(píng)為高嚴(yán)重性漏洞；谷歌8月5日發(fā)布的安全更新的第二部分，修復(fù)了總共24個(gè)影響內(nèi)核組件、聯(lián)發(fā)科組件、Widevine DRM、高通組件和高通閉源組件的漏洞。

　　這些問(wèn)題中最嚴(yán)重的是釋放后重用漏洞，它可能允許攻擊者以?xún)?nèi)核權(quán)限執(zhí)行任意代碼。攻擊者利用該漏洞可以在特權(quán)進(jìn)程的上下文中遠(yuǎn)程執(zhí)行代碼，并根據(jù)與此應(yīng)用程序關(guān)聯(lián)的權(quán)限，來(lái)安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶(hù)權(quán)限的新帳戶(hù)。

　　除了上述針對(duì)Android安全公告解決的漏洞外，谷歌還修復(fù)了三個(gè)特定于Pixel設(shè)備的中等嚴(yán)重性漏洞。其中包括Pixel組件中的特權(quán)提升，以及Qualcomm閉源組件中的另外兩個(gè)未指明的漏洞。