本周三，谷歌更新2021年五月安卓安全通告称，Arm 和高通在本月早些时候修复的4个漏洞可能已在 0day 漏洞状况下遭利用。

安全通告指出，“有迹象表明，CVE-2021-1905、CVE-2021-1906、CVE-2021-28663 和 CVE-2021-28664 可能已遭有限的且有针对性的利用。”

如下四个缺陷影响高通 Graphics 和 Arm Mali GPU Driver 模块：

• CVE-2021-1905（CVSS 评分8.4）：因同时对多个进程的内存映射处理不当，高通图片组件中存在释放后使用缺陷。
• CVE-2021-1906（CVSS 评分6.2）：该缺陷和地址注销处理不当有关，可导致新的 GPU 地址分配失败。
• CVE-2021-28663 (CVSS评分无)：Arm Mail GPU 内核中存在一个漏洞，可导致非权限用户在 GPU 内存中做出不当操作，导致释放后使用场景，进而获得根权限或造成信息泄露后果。
• CVE-2021-28664（CVSS评分无）：非权限用户可获得对只读内存的读/写权限，从而因内存损坏引起权限提升或拒绝服务条件

这些弱点如遭成功利用，可导致攻击者获得对目标设备的全部访问权限并控制设备。然而，目前尚不清楚攻击本身是否已执行，遭攻击的受害者是谁，或者滥用这些漏洞的威胁行动者是谁。

这一情况展示了少见情况：安卓中的 0day 漏洞已被用于真实的网络攻击活动中。

3月早些时候，谷歌称有攻击者武器化使用高通芯片集的安卓设备中存在的漏洞 (CVE-2020-11261) 发动针对性攻击。另外，存在于安卓跨流程通信机制 Binder 中的漏洞 (CVE-2021-2216) 遭 NSO Group 和 SolarWinds 威胁行动者利用，攻陷受害者设备并收集用户信息。