（在说正事之前，我要推荐一个福利：你还在原价购买阿里云、腾讯云、华为云服务器吗？那太亏啦！来这里，新购、升级、续费都打折，能够为您省60%的钱呢！2核4G企业级云服务器低至69元/年，点击进去看看吧>>>)

2020年7月，谷歌安全研究人员向高通报告了一个高通芯片集漏洞，攻击者利用该芯片集漏洞可以发起针对安卓设备的定向攻击。漏洞CVE编号CVE-2020-11261，CVSS 评分8.4分，是高通图形卡组件中的不当输入验证漏洞，攻击者利用该漏洞可以发起对设备内存块的访问来触发内存破坏。

需要注意的是该漏洞的访问向量是本地，也就是说漏洞利用需要有对设备的本地访问权限。换句话说，为成功发起攻击，攻击者需要能够对设备有物理访问权限，或用水坑攻击等其他方式来传播恶意代码以开启攻击链。

根据1月份发布的安全公告，受影响的芯片集包括：

3月18日，谷歌在1月份发布的安全公告中更新称，CVE-2020-11261可能存在在野漏洞利用。但是对于攻击活动的具体情况，包括攻击者、受害者等，都没有公开。

该漏洞已经于2021年1月发布了安全补丁。研究人员建议用户尽快安装补丁，进行安全更新。

本文翻译自：https://thehackernews.com/2021/03/warning-new-android-zero-day.html如若转载，请注明原文地址。

本文转载自网络，原文链接：https://www.4hou.com/posts/vRLM