В Android исправлены 4 уязвимости нулевого дня

Специалисты компании Google предупредили о четырех уязвимостях нулевого дня (CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 и CVE-2021-28664) в Android. Проблемы затрагивают модуль Qualcomm Graphics и драйвер графического процессора Arm Mali GPU.

Самая опасная проблема (CVE-2021-1905) получила оценку 8,4 балла по шкале CVSS и представляет собой уязвимость использования после освобождения. Проблема содержится в графическом компоненте Qualcomm и связана с некорректной обработкой отображения памяти нескольких процессов одновременно.

Другая проблема (CVE-2021-1906) связана с некорректной обработкой отмены регистрации адресов, которая может привести к сбою выделения адресов для нового графического процессора.

Уязвимость в ядре графического процессора Arm Mali ( CVE-2021-28663 ) позволяет непривилегированному пользователю выполнять операции с памятью графического процессора для получения прав суперпользователя или доступа к данным.

Эксплуатация последней проблемы ( CVE-2021-28664 ) позволяет непривилегированному пользователю получить доступ для чтения/записи постоянной памяти и тем самым повысить привилегии или вызвать состояние «отказа в обслуживании» (DoS).

Успешное использование уязвимостей позволяет получить доступ к устройству и перехватить управление над ним.