谷歌本周宣布的 Android 作業系統安全更新解決了 50 多個漏洞,包括間諜軟體供應商利用的 Arm Mali GPU 漏洞。
谷歌在 2023 年 3 月報告稱,被跟蹤為 CVE-2022-22706 的漏洞是一個核心驅動程式問題,Arm 在 2022 年 1 月修複了該漏洞,但在此之前一直是攻擊的目标。
然而,盡管已知存在漏洞,谷歌和其他 Android 供應商還是花了一年多的時間才将 CVE-2022-22706 的更新檔整合到他們的軟體更新中。
上個月,谷歌解決了另一個被間諜軟體供應商利用為零日漏洞的 Android 漏洞。該問題被追蹤為 CVE-2023-0266,被描述為導緻特權更新的中等嚴重性核心缺陷。
與往常一樣,2023 年 6 月的 Android 更新分為兩部分。第一部分作為2023-06-01 安全更新檔級别到達裝置,解決了架構元件中的 10 個漏洞和系統元件中的 13 個錯誤。
其中三個問題是嚴重的遠端代碼執行 (RCE) 漏洞。它們被跟蹤為 CVE-2023-21127、CVE-2023-21108 和 CVE-2023-21130。
“這些問題中最嚴重的是系統元件中的一個嚴重安全漏洞,如果啟用 HFP 支援,則可能導緻通過藍牙遠端執行代碼,而無需額外的執行權限。開發不需要使用者互動,”谷歌在其公告中指出。
其餘 20 個漏洞被評為“高嚴重性”,會導緻特權更新、資訊洩露或拒絕服務 (DoS)。
作為2023-06-05 安全更新檔級别到達裝置,Android 2023 年 6 月更新的第二部分解決了 Arm(3 個漏洞)、Imagination Technologies(2 個)、Unisoc(4 個)、Widevine DRM(2 個)和高通元件 (22)。
谷歌尚未釋出公告,詳細說明 2023 年 6 月的 Pixel 安全更新所解決的漏洞。本月未釋出任何 Android Automotive OS 安全更新檔。