Google 修復 Android 系統中可導致遠端執行任意程式碼的嚴重漏洞 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

Google 於近日推出 2021 年 4 月份 Android 系統資安更新，一共修復 30 個大小漏洞，其中包括一個可能導致駭侵者遠端執行任意程式碼的嚴重漏洞；用戶應注意手機原廠發表的修補更新訊息。

Google 於近日推出 2021 年 4 月份 Android 系統資安更新，一共修復超過 30 個大小資安漏洞；其中更包括一個可能導致駭侵者遠端執行任意程式碼的嚴重等級資安漏洞。各廠牌 Android 手機用戶，應注意手機原廠發表的修補更新訊息，當原廠發布資安更新時，應立即更新至最新版本韌體。

這個可能導致駭侵者遠端執行任意程式碼的漏洞，其 CVE 編號為 CVE-2021-0430，存於 Android 的系統組件之中；駭侵者可以透過特製的檔案觸發此漏洞，以擁有特權的執行程序遠端執行任意程式碼。

CVE-2021-0430 這個漏洞的 CVSS 危險程度評分高達 8.8 分，屬於「嚴重」（critical）等級；主要影響的 Android 版本為 Android 10 和 Android 11 等兩個版本。

在這波 Android 資安更新中，Google 是分成兩次發行的；4 月 1 日先推出的 Android 更新中，共有 12 個漏洞的危險程度等級為「高」（high）等級，其中有 9 個存於 Framework 組件中，另外有 3 個存於 Media 組件中，可讓駭侵者提升執行權限，或是竊取相關資訊。

4 月 5 日時 Google 再次推出一波 Android 資安更新，一共修復 18 個資安漏洞，其中包括存於系統組件的 2 個高危險資安漏洞、存於核心組件的 2 個高危險漏洞，其他漏洞則存於 MediaTek、Qualcomm 開源與閉源組件等。

由於 Google 推出的 Android 資安更新包，只適用於如 Google Pixel 等使用原生 Android 系統的裝置，其他主要品牌如 Samsung、Asus、Xiaomi 等各廠自行推出的 Android 裝置，必須等候原廠推出系統更新，因此用戶應隨時注意各原廠發布的更新訊息，即時更新 Android 手機至最新版本。