Google釋出新的Android關鍵安全補丁
Google 近日釋出了新的 Android 安全補丁報告。
報告中,谷歌稱已經修復一系列Android中嚴重漏洞,包括在媒體伺服器遠端執行程式碼的缺陷(RCE)和升級後與各種驅動程式相容問題 (EoP)。
在本月的Nexus安全公告中,釋出19個漏洞目前已更新16個安全補丁。這些漏洞是在去年七月釋出的Stagefright中被發現的,該問題一度影響數十億裝置。
安全公告顯示,這些漏洞七個被評為嚴重,十個被評為高,和兩個中等。雖然許多這些缺陷都是EoP問題,谷歌也馬上提出瞭解決方案,修復了資訊遭到洩露的手機裝置,緩解了媒體伺服器遠端執行程式碼(EoP)漏洞問題。
幸運的是,谷歌表示,暫時沒有收到新的漏洞報告。
在本次安全更新中,解決了受到Stagefright和Stagefright2.0平臺元件漏洞影響的媒體服務。本月,谷歌釋出新版的安全補丁中也將解決這兩個RCE問題(CVE-2016-0815和CVE-2016-0816)。涉及到的版本有Android4.4.4,5.0.2, 5.1.1,6.0和6.0.1。
同時,也釋出了4個針對EoP漏洞的安全補丁,分別是Conscrypt(CVE-2016-0818)、高通公司效能元件(CVE-2016-0819)、聯發科Wi-Fi驅動程式(CVE-2016-0820)、Keyring元件(CVE-2016-0728)。聯發科Wi-Fi驅動程式安全補丁主要針對Android 6.0.1,其他三個補丁主要針對Android 4.4.4,5.0.2,5.1.1,6.0和6.0.1。
在Conscrypt該漏洞可能允許特定型別的無效證書的,由中間證書頒發機構(CA)頒發,所以攻擊者可能會製造假的認證,從而發起攻擊。其他三個可能使惡意應用程式在核心中執行任意程式碼,從而導致裝置永久的損壞。
在三月的Nexus安全公告解決了10高危漏洞,主要是核心(CVE-2016-0821)漏洞,藍芽(CVE-2016-0830),聯發科的連線驅動程式(CVE-2016-0822),2個媒體服務EoP漏洞(CVE-2016-0826和CVE-2016-0827)。
谷歌還修復了核心資訊洩露漏洞(CVE-2016-0823),libstagefright(CVE-2016-0824)的Widevine(CVE-2016-0825)漏洞,和媒體伺服器(CVE-2016-0828和CVE-2016-0829)漏洞。
在2015年8月,谷歌曾聯合三星、黑莓等廠商定期更新Nexus裝置。