Google 在 12 月的安全更新中,堵塞了 Android 系統上重要的 DoS 和 RCE 漏洞,這類型每月更新通常都是修復重大的漏洞,用戶如果系統仍未更新,建議應該留意有關的詳情。
遠端攻擊者可令裝置永久DoS
12 月的 Android Security Bulletin 中收復了危急、高及中等嚴重性的漏洞,大大小小總共與 15 項 CVE 有關連,其中最危急的漏洞屬於 CVE-2019-2232 的 DoS 漏洞,讓遠端攻擊者能夠透過特別製作的訊息令受影響裝置永久 DoS,而受這漏洞影響的系統版本包括 8.0、8.1、9 和 10 的 Android 系統。
其次是修復了 CVE-2019-2222 和 CVE-2019-2223 兩個 Android 系統媒體架構上的漏洞,這兩個漏洞使遠端攻擊者可以透過特別的檔案在特權的程序中執行代碼。其他高嚴重性的漏洞包括無視權限存取資料的漏洞,也在 12 月的安全報告中披露。
堵塞合作伙伴的漏洞
除了 Google 自己的產品以外,關係密切的 Qualcomm 的漏洞也同樣進行修復,包括有多人對話處理器至 2G/3G 技術等 Qualcomm 相關的 4 項安全漏洞得到修復,當中 CVE-2018-20961 的 USB MIDI 使用到 Android 的核心元件被列為高嚴重的安全漏洞,而以上提到的安全漏洞,暫時未發現有外界使用的跡象。
Samsung 和 LG 已就這次的安全報告內容推出補丁,而 Google 的「親生仔」Pixel 則只是快裝推出,Google 表示過期的 Android 裝置持續面對威脅,最新的安全漏洞 StrandHogg 容許惡意程式偽裝成知名的應用程式並要求不同的授權,有可能導致黑客竊聽用戶、盜取相片和收發 SMS 訊息等行為。
資料來源:Threat Post
