CVE-2021-1905 — 神龙十问 AI 深度分析摘要
CVSS 8.4 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:高通组件资源管理错误,内存映射处理不当导致**释放后使用 (UAF)**。 💥 **后果**:系统崩溃或**完全控制**设备,高危风险。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:**资源管理错误**。 ⚠️ **CWE**:数据未提供具体 CWE ID,核心在于**多进程内存映射**逻辑漏洞。
Q3影响谁?(版本/组件)
📱 **受影响组件**:Qualcomm 组件(Snapdragon 系列)。 📋 **涉及芯片**:APQ8009, APQ8017, MDM9206, AR8031 等(见列表)。
Q4黑客能干啥?(权限/数据)
🔓 **权限提升**:无需认证,本地即可触发。 💾 **数据泄露**:可读取/修改**高敏感数据**,甚至执行任意代码。
Q5利用门槛高吗?(认证/配置)
📉 **门槛低**: - **本地访问** (AV:L) - **低复杂度** (AC:L) - **无需认证** (PR:N) - **无需用户交互** (UI:N)
Q6有现成Exp吗?(PoC/在野利用)
🧪 **有 PoC**:GitHub 上有相关利用代码(TAKIANFIF 仓库)。 🌍 **在野利用**:数据未明确提及,但 PoC 存在需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查设备是否使用列出的 **Qualcomm 芯片**。 2. 扫描 **GPU/ARM Mali** 相关组件版本。 3. 关注高通官方安全公告。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已修**:高通于 **2021年5月** 发布安全公告。 ✅ **建议**:立即检查并应用厂商提供的**安全补丁**。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: - 限制**本地物理访问**。 - 保持系统**最新固件**。 - 若无补丁,考虑**隔离**受影响设备。
Q10急不急?(优先级建议)
🔥 **优先级:极高**。 CVSS **9.8分**,本地无需认证即可造成**完全破坏**。 👉 **行动**:立即修补,切勿拖延!