close

_02_2023.10.04_Android_十月更新包修復_54_個漏洞,部分已遭用於駭侵攻擊

Google 近期推出 2023 年 10 月份 Android 軟體更新,適用於 Android 11 到 Android 13,一共修復多達 54 個資安漏洞,其中已有 2 個漏洞已遭駭侵者用於攻擊活動。

遭到駭侵者用於攻擊的資安漏洞,分別是 CVE-2023-4863 與 CVE-2023-4211;Google 在資安通報中指出這兩個漏洞已用於有限度的目標針對攻擊之中。

CVE-2023-4863 是一種存於泛用型開源程式庫 libwebp 的緩衝區溢位(buffer overflow)錯誤,許多大型知名軟體如 Chrome、Firefox、iOS、Microsoft Teams 等都受此漏洞衝擊而成為駭侵者的攻擊目標。

由於這個漏洞的影響範圍甚廣,不同受影響的公司都分別提出了漏洞通報;後來都歸納在 CVE-2023-4863 這個 CVE 編號之下。

而 CVE-2023-4211 是個存於 ARM 處理器中 Mali GPU 驅動程式的記憶體釋放後使用(use-after-free)漏洞,駭侵者可藉以在本地端存取或操弄機敏資料。

總體來說,這次的 Android 2023 年 10 月份資安更新,解決的漏洞存在的部分分列如下:

  • Android Framework:13 個;
  • 系統組件:12 個;
  • Google Play:2 個;
  • ARM 組件:5 個;
  • Unisoc 晶片相關:1 個;
  • Qualcomm 晶片相關:18 個(其中有 15 個為閉源)

而在漏洞的危險程度方面,這 54 個獲得修復的漏洞中,有 5 個列為「嚴重」(critical)等級,另有 2 個屬於遠端執行任意程式碼漏洞。Google 將分成兩波推出更新,第一波於 10 月 1 日推出,主要修復 Android 核心組件的漏洞,第二波則在 10 月 6 日推出,主要處理系統核心和閉源組件的漏洞。

由於多數的 Android 裝置都無法直接套用 Google 推出的系統更新,必須等待裝置製造商推出更新,因此用戶應密切注意更新的推出,且在等待期間應避免各種危險操作行為,例如自不明來源下載 apk 檔案等。

  • 參考連結

Android 安全公告 - 2023 年 10 月

https://source.android.com/docs/security/bulletin/2023-10-01

Android October security update fixes zero-days exploited in attacks

https://www.bleepingcomputer.com/news/security/android-october-security-update-fixes-zero-days-exploited-in-attacks/

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()