针对4个漏洞的Android补丁已经发布了，但你什么时候能得到它们?

在本月初发布的《2021年5月Android安全公报》中，你可以找到一个列表，其中列出了几个组件中可能会让Android用户担心的大约40个漏洞。根据谷歌的Zero项目团队提供的信息，这些Android安全漏洞中有四个被当作零日漏洞利用。

好消息是补丁是可用的。Android补丁和更新的问题是，作为用户，你依赖于你的上游供应商，这些补丁何时会到达你的系统。

Android更新和升级

对于Android用户来说，他们什么时候可以得到最新的更新和升级总是不清楚的。Android设备在很多方面都是一台电脑，它需要定期更新。要么针对最新的漏洞进行修补，要么在新功能可用时进行修补。

更新是指现有的Android版本得到改进，并且定期更新。升级是指你的设备升级到更高的Android版本。通常情况下，设备无需升级也可以正常运行，只要它能通过获得最新的更新保持安全。

这取决于品牌和类型

谷歌是开发了Android操作系统(它本身就是一种Linux)的公司，该公司还保持了它的最新状态。它也是创建安全补丁的公司。但随后，这些软件会被转交给设备制造商，后者会为自己的设备开发自己的版本。

所以，你什么时候能得到最新的更新，取决于你的设备的制造商。一些制造商的设备可能永远不会看到另一个更新，因为谷歌不被允许与它们做生意。

关键的漏洞

公告指出，有迹象表明，CVE-2021-1905、CVE-2021-1906、CVE-2021-28663和CVE-2021-28664可能受到有限的、有针对性的利用。公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。在野外可能被滥用的四种是:

• cve - 2021 - 1905由于同时对多个进程的内存映射处理不当，可能在空闲后使用。在Snapdragon汽车、Snapdragon计算、Snapdragon连接、Snapdragon消费者物联网、Snapdragon工业物联网、Snapdragon移动、Snapdragon语音和音乐、Snapdragon可穿戴设备。
• cve - 2021 - 1906地址注销失败处理不当，可能导致GPU新地址分配失败。在Snapdragon汽车、Snapdragon计算、Snapdragon连接、Snapdragon消费者物联网、Snapdragon工业物联网、Snapdragon移动、Snapdragon语音和音乐、Snapdragon可穿戴设备。
• cve - 2021 - 28663Arm Mali GPU内核驱动程序允许特权升级或信息泄露，因为GPU内存操作被错误处理，导致免费后使用。这影响了彩虹桥r0p0到r28p0在r29p0之前，瓦尔霍尔r19p0到r28p0在r29p0之前，Midgard r4p0到r30p0。
• cve - 2021 - 28664Arm Mali GPU内核驱动程序允许特权升级或拒绝服务(内存损坏)，因为非特权用户可以对只读页面实现读/写访问。这影响了彩虹桥r0p0到r28p0在r29p0之前，瓦尔霍尔r19p0到r28p0在r29p0之前，Midgard r8p0到r30p0。

像CVE-2021-1905这样的free后使用(UAF)是由程序操作期间不正确使用动态内存造成的漏洞。如果在释放一个内存位置之后，程序没有清除指向该内存的指针，攻击者就可以利用这个错误来操纵程序。

Snapdragon是Qualcomm Technologies Inc.设计和销售的一套系统芯片(SoC)半导体产品，用于移动设备。

Arm Mali GPU是Arm开发的一款图形处理单元，适用于从智能手表到自动驾驶汽车等一系列移动设备。

缓解

你可以判断你的设备是否被检查安全补丁级别．

• 2021-05-01或更高版本的安全补丁级别解决与2021-05-01安全补丁级别相关的所有问题。
• 2021年05月05日或更高版本的安全补丁级别处理与2021年05月05日安全补丁级别和之前所有补丁级别相关的所有问题。

我们很乐意告诉你立即打补丁，但正如我们解释的，这取决于制造商。一些还没有更换新设备的用户可能根本无法安装这些补丁，因为新设备每月仍会收到安全更新。

保持安全,大家好!