谷歌8月修复两个已遭在野利用的高通漏洞

转载 于 2025-08-07 18:09:11 发布 · 63 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523757&idx=1&sn=a85850b7ce1813e05057454b25b4afe7&chksm=eb98721f4a31ba5e477058fe5aca97466531d7c0b1d985fae7a99f50b82ab9cd604b8a00258e&scene=126&sessionid=0

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌发布安全更新,修复了位于安卓中的多个漏洞,其中两个高通漏洞已被标记为“遭在野利用”。这两个漏洞是CVE-2025-21479(CVSS评分8.6)和CVE-2025-27038(CVSS 评分7.5),它们在2025年6月就和另外一个漏洞CVE-2025-21480(CVSS评分8.6)一起披露。

CVE-2025-21479和Graphics 组件中的一个授权不正确漏洞有关,它可导致因GPU微码中的越权命令执行而损坏内存。CVE-2025-27038是位于 Graphics 组件中的一个释放后使用漏洞,可导致内存损坏,同时使用 Chrome 中的 Adreno GPU 驱动渲染图形。

目前尚不清楚这些漏洞如何在现实中遭利用,但高通当时表示,“谷歌威胁分析团队指出CVE-2025-21479、CVE-2025-21480和CVE-2025-27038可能遭有限的针对性利用。”

鉴于高通芯片级中的类似漏洞过去曾遭商用监控软件厂商如 Variston 和 Cy4Gate 的利用,因此推测上述漏洞可能也已被滥用于类似的上下文中。这三个漏洞已被CISA纳入必修清单,联邦机构必须在2025年6月24日前应用更新。

谷歌还修复了两个位于安卓框架中的高危提权漏洞(CVE-2025-22441和CVE-2025-48533)以及位于System 组件中还存在一个严重漏洞(CVE-2025-48530),后者与其它缺陷组合利用可导致远程代码执行后果,而无需任何其它权限或用户交互。

谷歌发布了两个补丁级别2025-08-01和CVE-2025-08-05,后者继承了Arm和高通的闭源和第三方组件修复方案。建议安卓设备用户届时应用这些更新,以免受潜在威胁。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login

推荐阅读

谷歌修复安卓遭活跃利用的 FreeType 0day漏洞

谷歌修复已遭利用的安卓0day

谷歌修复已遭利用的两个安卓 0day 漏洞

谷歌修复已遭利用的安卓内核0day漏洞

谷歌安卓应用的RCE漏洞最高赏金45万美元

原文链接

https://thehackernews.com/2025/08/google-fixes-3-android-vulnerabilities.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

Google发布安全更新,修复Chrome中已被利用的0 day
不忘初心,护天下安全!
07-06 330
Google Chrome 是全球主流的免费浏览器之一,用户群体广泛,具有快速、高效、安全等特点。7月4日,Google发布为Windows用户发布Chrome 103.0.5060.114,修复了2022年Chrome中的第4个0 day。该漏洞是WebRTC(Web实时通信)组件中基于堆的缓冲区溢出漏洞CVE-2022-2294),由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用,但并未公开关于攻击的技术细节等信息。攻击者可利用漏洞,构造恶意数据造成缓冲区溢出攻击,并执行远程
ChromeSetup83.0.4103.97.exe
07-06
ChromeSetup83.0.4103.97.exe
Chrome 103紧急修复利用的0day
smellycat000的专栏
07-05 303
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周一,谷歌紧急修复利用的0day (CVE-2022-2294)。该漏洞是位于 WebRTC的一个堆缓冲区溢出漏洞,由Avast威胁情报团队在7月1日报告。该漏洞已在 Chrome 103.0.5060.114的Windows 版本中修复。目前尚不存在关于CVE-2022-2294的利用信息。Avast 公司也并未...
chrome-0day简单复现
qq_51954912的博客
04-24 317
文章目录前言漏洞简介复现过程 前言 昨天学长说了一个chrome-0day漏洞,闲来无聊,简单复现一下。 漏洞简介 4月13日,国外安全研究员发布了 Chrome 远程代码执行漏洞 0day 的利用代码。Google 在代码库和 beta 测试版中修复了此漏洞,但未将更新推送至正式版,因此该漏洞可以威胁最新的 Chrome 浏览器正式版(89.0.4389.114)。 复现过程 首先,这个漏洞影响的版本是Google Chrome: <=89.0.4389.114 这里我就用89.0.4389.114
谷歌修复利用的 Chrome 0day
smellycat000的专栏
02-05 1257
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队谷歌修复了 Chrome 88.0.4324.150版本中一个已利用的 0day 漏洞,影响 Windows、Mac 和 ...
《Chrome插件英雄榜》103篇更新,奇妙番茄钟, 提醒打工人及时休息
zhaoolee的CSDN博客
05-14 271
番茄工作法是一种时间管理法,该方法使用一个定时器来分割出一个一般为25分钟的工作时间和5分钟的休息时间. 番茄工作法如何使用 第一步: 确定任务. 第二步: 设定番茄工作法定时器至25分钟. 第三步: 持续工作25分钟后,记下一个番茄. 第四步: 短暂休息5分钟. 第五步: 每四个番茄,休息15-30分钟. 番茄工作法原理 番茄工作法的关键是规划,追踪,记录,处理,以及可视化。在规划阶段,任务被根...
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
最后,“CVE-2020-1380”和“CVE-2020-0986”是具体的漏洞编号,根据Common Vulnerabilities and Exposures (CVE) 系统进行识别,这两个漏洞可能与IE浏览器的沙箱逃逸有关。 在压缩包内的文件“逃逸IE浏览器沙箱_...
VMware紧急告警:VMSA-2025-0004修复ESXi、Workstation 和 Fusion 等多个在野使用漏洞
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
03-15 1297
VMware紧急告警:VMSA-2025-0004修复ESXi、Workstation 和 Fusion 等多个在野使用漏洞
在野漏洞的应急响应流程
INSBUG的博客
08-26 1311
许多时候,对于负责安全工作又不太擅长安全漏洞技术的人员而言,如何应对突发漏洞是工作中主要的难点,这里的突发漏洞指的是两类:一类是通过新闻、咨询推送,被社会舆论所有关注的CVE漏洞,比如前段时间所谓的核弹级别Windows Server漏洞,一类是没有引起足够社会关注,但又在安全行业流传的0-day漏洞,但也仅限于传说,而很少有人真正见过的0-day漏洞。在漏洞的影响范围确定之后,可以通过机构的资产管理工具快速判断漏洞影响的资产范围,对于软件类或配置类的漏洞,则可能需要通过PoC进行手动扫描和评估。
QNAP NAS在野漏洞攻击事件披露 .pdf
09-05
QNAP NAS在野漏洞攻击事件披露 安全架构 web安全 安全架构信息安全 安全建设
谷歌浏览器最新版下载、20220622发布google chrome 103,谷歌浏览器103最新版
06-22
谷歌浏览器最新版下载、20220622发布google chrome 103,谷歌浏览器103最新版
高通芯片漏洞在野利用谷歌发布紧急安卓补丁
最新发布
athink_cn的博客
08-07 844
谷歌发布了 2025 年 8 月安卓安全公告。其中 CVE-2025-21479 和 CVE-2025-27038 这两个高危漏洞已被黑客在实际中利用CVE-2025-21480 也被密切关注。这些漏洞存在于高通 Adreno 图形处理单元相关组件,可能导致内存损坏等严重后果。
error103,101 谷歌浏览器有些页面显示不出来,问题解决
叫我囧摸扮
02-09 883
如下图,有些网站你硬是上不去,然后果断怀疑你的安全防护软件吧,凡事都是双刃剑。   解决方案: 360: 功能大全-&gt;流量防火墙-&gt;保护网速-&gt;关闭你那个浏览器的网速保护 然后再上网,就十分OK啦!  ...
Chrome 103支持使用本地字体,纯前端导出PDF优化
葡萄城技术团队博客
11-24 711
在前端导出PDF,解决中文乱码一直是一个头疼的问题。要解决这个问题,需要将ttf等字体文件内容注册到页面PDF生成器中。但是之前网页是没有权限直接获取客户机器字体文件,这时就需要从服务器下载字体文件或者提示用户选择字体文件上传到页面。对于动辄数十兆(M)的中文字体文件,网络不好时并不是一个好的解决方案。
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
yggcwhat
06-29 3706
CVE-2022-22947:Spring Cloud Gateway 远程代码执行漏洞复现及修复建议
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
白帽子九一
03-15 1645
Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947) 遵纪守法 任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益 漏洞描述: Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问ActuatorAPI的情况下,将可以利用漏洞执行任意命令。 漏洞影响: 3.1.0、 3.0
Spring Cloud Gateway(CVE-2022-22947)漏洞复现
swordheart的博客
05-12 2375
1.漏洞介绍 当Spring Cloud Gateway启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而远程执行任意代码。 2.漏洞复现 2.1更新vulhub,切换到vulhub的目录git pull 拉取vulhub进行更新 2.2 进入cve-2022-22947,启动容器 2.3 访问漏洞环境 2.4 burp抓包,添加包含恶意的路由 POST .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值