Google 日前釋出 2022 年 2 月 Android 資安修補程式,修復多個漏洞,其中包括一個可讓駭侵者遠端提升執行權限,且危險程度為最高等級「嚴重」(Critical)的漏洞。
這個嚴重漏洞的 CVE 編號為 CVE-2021-39675,僅存於最新版本的 Android 12 中,可以在用戶不知情的情形下,遠端提升惡意軟體的執行權限。
這類漏洞通常會被用於手法純熟的惡意軟體發行者,不過 Google 表示並未見到該漏洞遭到大規模濫用於攻擊活動的跡象。
在這波漏洞修補中,還有另一個嚴重漏洞 CVE-2021-30317 也得到修補;該漏洞主要影響 Qualcomm 的封閉原始碼組件,也僅有使用 Qualcomm 零組件的 Android 裝置會受到影響。
另外,這次 Google 釋出的軟體修補包中,除了上述 2 個「嚴重」等級的漏洞之外,另外還有三十餘個屬於「高度」危險等級的漏洞,分別存於 Android system framework、media framework、系統組件、媒體播放系統,以及協力廠商 Amlogic、MTK、紫光、Qualcomm 等相關組件。
值得注意的是,由於市面上的 Android 裝置,其作業系統與資安更新,多半是由裝置製造商提供,無法直接套用 Google 推出的 Android 資安更新包(Google 自行推出的 Pixel 系列與少數第三方機種除外);因此用戶應密切注意裝置製造廠的更新情報,在對應的更新推出後立即套用。如果因裝置老舊,製造商已不提供更新服務的話,應淘汰老舊設備。
- CVE編號:CVE-2021-39675
- 影響產品(版本):Android 10、11、12
- 解決方案:密切注意裝置製造商的更新提供
- 參考連結
Android 安全公告 - 2022 年 2 月
https://source.android.com/security/bulletin/2022-02-01
Google fixes remote escalation of privileges bug on Android
留言列表