Google本周一(11/2)更新Android平台,這是Google每月的例行性安全性更新,修補了7個安全漏洞,其中有兩個屬於重大漏洞,包含一個可自遠端執行程式的Mediaserver漏洞。
相關更新可透過空中下載(over-the-air,OTA)技術傳輸至Nexus裝置,Google也會將此一新的Nexus韌體映像檔發表至Google開發者網站,LMY48X以後或11月1日之後的Android 6.0(Marshmallow,棉花糖)版本亦將含有相關修補程式。Google已於今年10月5日通知合作夥伴相關問題,也準備在48小時內將修補程式的原始碼貢獻至Android開放源碼專案中。
此次修補的7個安全漏洞中有兩個可導致遠端程式執行的漏洞被列為重大(Critical)等級,其它則為重要(High)或一般(Moderate)等級,有4個漏洞屬於權限擴張漏洞,另一個為資訊揭露漏洞。
兩個重大漏洞的編號分別是CVE-2015-6608與CVE-2015-6609,前者的漏洞藏匿在Mediaserver中,當進行一個特製檔案的媒體與資料處理時,相關漏洞允許駭客從遠端造成記憶體毀壞並執行遠端程式功能。
Google說明,受到影響的功能屬於作業系統的核心部份,並有多項應用允許它接觸遠端內容,涵蓋多媒體訊息及瀏覽器的媒體播放等,可能造成遠端程式執行。
CVE-2015-6609漏洞則位於libutils中,這也是Android平台的另一個核心函式庫,若遭到攻擊也會導致遠端程式執行。
Google採取多項策略以降低駭客攻擊漏洞的成功機率,包含Android安全平台、SafetyNet與Verify Apps等功能。除了呼籲使用者儘快升級到最新的Android平台之外,Google已禁止刷機工具在Google Play上架,而Verify Apps則會在使用者自第三方程式市集下載刷機工具時提出警告,也會封鎖已知的惡意程式。(編譯/陳曉莉)