谷歌本周宣布的 Android 操作系统安全更新解决了 50 多个漏洞,包括间谍软件供应商利用的 Arm Mali GPU 漏洞。
谷歌在 2023 年 3 月报告称,被跟踪为 CVE-2022-22706 的漏洞是一个内核驱动程序问题,Arm 在 2022 年 1 月修复了该漏洞,但在此之前一直是攻击的目标。
然而,尽管已知存在漏洞,谷歌和其他 Android 供应商还是花了一年多的时间才将 CVE-2022-22706 的补丁整合到他们的软件更新中。
上个月,谷歌解决了另一个被间谍软件供应商利用为零日漏洞的 Android 漏洞。该问题被追踪为 CVE-2023-0266,被描述为导致特权升级的中等严重性内核缺陷。
与往常一样,2023 年 6 月的 Android 更新分为两部分。第一部分作为2023-06-01 安全补丁级别到达设备,解决了框架组件中的 10 个漏洞和系统组件中的 13 个错误。
其中三个问题是严重的远程代码执行 (RCE) 漏洞。它们被跟踪为 CVE-2023-21127、CVE-2023-21108 和 CVE-2023-21130。
“这些问题中最严重的是系统组件中的一个严重安全漏洞,如果启用 HFP 支持,则可能导致通过蓝牙远程执行代码,而无需额外的执行权限。开发不需要用户交互,”谷歌在其公告中指出。
其余 20 个漏洞被评为“高严重性”,会导致特权升级、信息泄露或拒绝服务 (DoS)。
作为2023-06-05 安全补丁级别到达设备,Android 2023 年 6 月更新的第二部分解决了 Arm(3 个漏洞)、Imagination Technologies(2 个)、Unisoc(4 个)、Widevine DRM(2 个)和高通组件 (22)。
谷歌尚未发布公告,详细说明 2023 年 6 月的 Pixel 安全更新所解决的漏洞。本月未发布任何 Android Automotive OS 安全补丁。