Google Pixel 手機遭發現多達 120 個資安漏洞 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

據 Cybersecurityhelp 網站近期發布的 Google Pixel 安全漏洞通報指出，近期 Google Pixel 系列手機共發現多達 120 個資安漏洞。

這批多達 120 個資安漏洞中，以其危險程度評級來說，並沒有被列為「嚴重」(critical) 等級的資安漏洞；列為「高」(high) 等級的有 7 個、「中」(medium) 的有 1 個，其餘的都屬於「低」(low) 危險等級資安漏洞。

屬於「高」危險等級的有以下數個漏洞較值得注意：

CVE-2023-21054：本漏洞屬於遠端執行任意程式碼漏洞，存於 Pixel 手機的 Modem 子元件未能針對輸入進行妥善檢查；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-24033：本漏洞和上個漏洞同樣屬於遠端執行任意程式碼漏洞，存於 Pixel 手機的 Modem 子元件未能針對輸入進行妥善檢查；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-21058：本漏洞和上個漏洞同樣屬於遠端執行任意程式碼漏洞，存於 Pixel 手機的 Cellular 韌體子元件未能針對輸入進行妥善檢查；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-21057：本漏洞和 CVE-2023-21058 同樣存於 Pixel 手機的 Cellular 韌體子元件，亦是未能針對輸入進行妥善檢查的漏洞；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-42499：本漏洞存於 Pixel 手機的 modem 子元件，亦是未能針對輸入進行妥善檢查的漏洞；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-42498：本漏洞存於 Pixel 手機的 Cellular 韌體子元件內，同樣也是未能針對輸入進行妥善檢查的漏洞；駭侵者可誘使用戶開啟特製檔案誘發此漏洞，遠端執行任意程式碼。
CVE-2023-43043：本漏洞屬於 parse.c 和式中的整數溢位錯誤；駭侵者可將特製的資料傳入該應用程式內誘發此漏洞，遠端執行任意程式碼，並且完全控制受害裝置。

CVE 編號：CVE-2023-21054、CVE-2023-24033、CVE-2023-21058、CVE-2023-21057、CVE-2023-42499、CVE-2023-42498及CVE-2023-43043等

影響產品：使用 2023 年 3 月 1 日前韌體版本的 Google Pixel 手機。

解決方案：建議 Google Pixel 手機用戶應立即更新手機到最新版本，以修補這些漏洞。