聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周谷歌发布2月安卓安全公告,其中包括40多个漏洞的信息,多数可导致提权后果。
本月的第一次更新是-02-01 安全补丁级别,包括20个漏洞的修复方案,其中15个可导致提权后果。最严重的漏洞位于 Media Framework 组件中,可导致攻击者在易受攻击设备上执行任意代码。攻击者需要提供特殊构造的文件才能触发该漏洞。该漏洞编号为 CVE--0325,在安卓8.1和9上是严重级别漏洞,不过在安卓10和11上是高危级别。
本月修复的 Media Framework 中的两个其它漏洞 CVE--0332 和 CVE--0335 被评为高危漏洞,可分别导致提权和信息泄漏后果。
谷歌还修复了安卓运行时中的1个信息泄漏漏洞,9个代码执行漏洞和5个拒绝服务漏洞,它们均被评为高危级别。System 组件收到了6个漏洞的补丁,其中1个是严重的 RCE 漏洞和5个高危提权漏洞。同时 media codecs 组件中也修复了一个漏洞。
本月安全更新的第二部分作为-02-05安全补丁级别发布,包括 Kernel 组件中23个漏洞的补丁(其中1个是高危漏洞)、高通组件(1个严重漏洞和5个高危漏洞)以及高通闭源组件(2个严重漏洞和14个高危漏洞)。
本月的 Pixel 更新公告中还包含了另外一个位于高通闭源组件中的中危漏洞 (CVE--11203) 的补丁。谷歌解释称将在2月的安卓安全通告中发布关于所有安全漏洞的补丁,以及在 Pixel 更新公告中的补丁。
目前尚未有证据表明本月安卓安全公告中解决的漏洞遭在野利用。
推荐阅读
谷歌披露利用 Windows 和安卓双平台的高阶攻击活动
我发现Facebook Messenger漏洞可使安卓用户互相监听,获奖6万美元
原文链接
/google-patches-16-high-severity-privilege-escalation-vulnerabilities-android
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个“在看” 或 "赞” 吧~
