安卓关键漏洞曝光数月后，三星、小米、谷歌等公司仍未进行修复

安卓关键漏洞曝光数月后，三星、小米、谷歌等公司仍未进行修复谷歌披露了配备MaliGPU的手机存在的几个安全漏洞，例如配备ExynosSoC的手机。该公司的ProjectZero团队表示，它在今年夏天将问题报告给了ARM（设计GPU的公司）。ARM在7月和8月结束时解决了这些问题。然而，ProjectZero表示，截至本周早些时候，包括三星、小米、Oppo和谷歌在内的智能手机制造商尚未部署补丁来修复这些漏洞。研究人员在6月和7月发现了五个新问题，并立即将它们标记为ARM。“其中一个问题导致内核内存损坏，一个导致物理内存地址被泄露给用户空间，其余三个导致物理页面释放后使用情况，”ProjectZero的IanBeer在一篇博文中写道。“这些将使攻击者能够在物理页面返回系统后继续读写物理页面。”比尔指出，黑客有可能获得对系统的完全访问权限，因为他们能够绕过Android上的权限模型并获得对用户数据的“广泛访问”。攻击者可以通过强制内核将上述物理页面重新用作页表来实现。——

CISA警告美国政府机构积极修补正在被利用的Android驱动程序

CISA警告美国政府机构积极修补正在被利用的Android驱动程序CISA要求联邦机构修补ArmMaliGPU内核驱动程序特权升级漏洞，该漏洞被添加到其主动利用漏洞列表中，并在本月的Android安全更新中得到解决。该漏洞跟踪编号为CVE-2021-29256，是一个使用后释放弱点，允许攻击者通过对GPU内存进行不当操作来升级为根权限或访问有针对性的Android设备上的敏感信息。相关公告：消息来源：投稿：@ZaiHuaBot群组：@ZaiHuaChat频道：@TestFlightCN

【谷歌修复新的Chrome零日漏洞】

【谷歌修复新的Chrome零日漏洞】2023年09月12日02点03分9月12日消息，安全公司BleepingComputer发布报告表示，谷歌发布紧急安全更新，以修复自今年初以来在攻击中被利用的第四个Chrome零日漏洞。谷歌在周一发布的安全公告中透露，已经意识到CVE-2023-4863零日漏洞被用于野外攻击。新版本目前正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。谷歌建议Chrome用户将其Web浏览器升级到116.0.5845.187（Mac和Linux）和116.0.5845.187/.188（Windows），因其已修复Windows、Mac和Linux系统上的CVE-2023-4863漏洞。谷歌表示，在大多数用户都使用修复程序之前，对漏洞细节和链接的访问可能会受到限制。

Linux内核项目成为CVE编号机构 后续未修补的漏洞将不再提前分配CVE

Linux内核项目成为CVE编号机构后续未修补的漏洞将不再提前分配CVE日前LinuxKernel宣布已成为Linux中发现的漏洞的CVE编号机构(CNA)，后续至少关于内核方面的漏洞，将由LinuxKernel项目自行分配，不再由MITRE分配CVE编号。为什么会引起不满呢？LinuxKernel项目组认为整个系统(指的是漏洞披露系统)很多方面都被破坏了，由于Linux内核金额处在系统的底层，几乎任何错误都可能被利用拿来危害内核的安全，但当错误被修复时，利用的可能性通常并不明显。过去CVE分配团队过于谨慎，将CVE编号分配黑他们发现或收到的任何错误修复，这也是为什么LinuxKernel团队发布了看似大量的CVE相关的东西。接下来LinuxKernel未修复的安全问题不会提前分配CVE编号，只有在漏洞被修复后才会分配CVE编号，这样可以通过正确的方式来追踪原始修复的gitcommitID。此外对于任何非稳定版、非LTS版这类正式版本的LinuxKernel发现的任何漏洞，都不会再分配CVE编号，因为这类版本本身就不是正式支持的。最后LinuxKernel内核团队也感觉cve.org小组和董事会，因为内核团队申请成为CNA的流程非常顺利并获得了他们的帮助，让内核团队成为CNA变成现实。...PC版：https://www.cnbeta.com.tw/articles/soft/1419043.htm手机版：https://m.cnbeta.com.tw/view/1419043.htm

谷歌与三星联手：Android 的“附近分享”现已更名为“Quick Share”

谷歌与三星联手：Android的“附近分享”现已更名为“QuickShare”谷歌今天在CES2024上宣布，将通过与三星合作，将双方的共享解决方案合并为一个名为“QuickShare”的单一跨安卓解决方案。为了使设备之间的共享更加无缝，两家公司还将与PC制造商合作，将“QuickShare”作为预装应用程序扩展到WindowsPC。谷歌表示，预计新版“QuickShare”将于下月开始向当前支持“附近分享”的设备推出。——

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。