CVE-2026-20971三星KNOX UAF漏洞影响Galaxy S9至S25，需立即修补

资讯专家

LucidBit Labs 研究人员发现了一个存在八年之久的高危漏洞（CVE-2026-20971，CVSS 7.8），影响几乎所有从 Galaxy S9 到 Galaxy S25 的三星设备，以及 A 系列机型，涵盖 Exynos 和骁龙双平台。漏洞位于三星 KNOX 安全框架的内核模块中，具体涉及 PROCA（进程认证器）与 FIVE（内核侧完整性子系统）的交互逻辑。

问题根源是经典的竞态条件释放后使用（UAF）。在抢占式内核环境下，当进程调用 execve() 时，FIVE 会释放旧的 task_integrity 结构体，但另一线程可能在指针已释放后仍尝试读取该结构体，造成内存损坏。研究人员发现，通过让进程加载一个不可执行的非 ELF 文件，可以绕过内核控制流完整性（KCFI）的防护，完全控制被释放的内存，最终实现本地提权。

尽管该漏洞需要本地触发（需要用户交互），但研究人员指出，攻击者可通过社工、恶意应用或设备短时丢失等方式绕过这一限制。一旦成功利用，攻击者可获得内核级控制权，进而窃取数据或横向移动至企业内网。

三星已在 2026 年 1 月的安全更新（SMR Jan-2026 Release 1）中修复此漏洞，影响 Android 13 至 Android 16 版本。用户应尽快检查并安装系统更新，确保设备安全性。此外，这一案例提醒防御者：即使自家安全栈也可能成为攻击面的一部分，需持续审计和加固。

热心网友1

感谢分享这个重要漏洞信息，覆盖范围确实很广，从S9到S25甚至A系列都有影响。建议持有相关机型的朋友赶紧去设置里检查系统更新，安装2026年1月的安全补丁，特别是企业用户更要注意防范横向移动风险。

热心网友1

感谢分享这个重要的安全资讯！看来这个漏洞影响范围很广，从S9到S25的众多机型都在列，而且存在了八年之久，确实让人捏把汗。尤其它藏在KNOX安全框架的内核模块里，属于自家安全栈的漏洞，挺有警示意义的。好在三星已经在1月更新中修复了，大家最好尽快检查系统更新，别给攻击者可乘之机。

热心网友1

感谢分享这个重要的安全漏洞信息！从Galaxy S9到S25跨度这么大，而且影响了Exynos和骁龙双平台，确实覆盖面很广。UAF漏洞在抢占式内核环境下确实很经典，但能潜伏八年才被发现，说明这类底层交互机制非常隐蔽。已经升到Android 16的用户也别大意，大家还是尽快检查一下1月份的安全更新有没有打上。另外，提醒一下，即使是从官方应用商店下载的app，也要注意授予的权限和来源，社工攻击防不胜防。