Google更新Android平台，修補Mediaserver漏洞

Google本周一（11/2）更新Android平台，這是Google每月的例行性安全性更新，修補了7個安全漏洞，其中有兩個屬於重大漏洞，包含一個可自遠端執行程式的Mediaserver漏洞。

相關更新可透過空中下載（over-the-air，OTA）技術傳輸至Nexus裝置，Google也會將此一新的Nexus韌體映像檔發表至Google開發者網站，LMY48X以後或11月1日之後的Android 6.0（Marshmallow，棉花糖）版本亦將含有相關修補程式。Google已於今年10月5日通知合作夥伴相關問題，也準備在48小時內將修補程式的原始碼貢獻至Android開放源碼專案中。

此次修補的7個安全漏洞中有兩個可導致遠端程式執行的漏洞被列為重大（Critical）等級，其它則為重要（High）或一般（Moderate）等級，有4個漏洞屬於權限擴張漏洞，另一個為資訊揭露漏洞。

兩個重大漏洞的編號分別是CVE-2015-6608與CVE-2015-6609，前者的漏洞藏匿在Mediaserver中，當進行一個特製檔案的媒體與資料處理時，相關漏洞允許駭客從遠端造成記憶體毀壞並執行遠端程式功能。

Google說明，受到影響的功能屬於作業系統的核心部份，並有多項應用允許它接觸遠端內容，涵蓋多媒體訊息及瀏覽器的媒體播放等，可能造成遠端程式執行。

CVE-2015-6609漏洞則位於libutils中，這也是Android平台的另一個核心函式庫，若遭到攻擊也會導致遠端程式執行。

Google採取多項策略以降低駭客攻擊漏洞的成功機率，包含Android安全平台、SafetyNet與Verify Apps等功能。除了呼籲使用者儘快升級到最新的Android平台之外，Google已禁止刷機工具在Google Play上架，而Verify Apps則會在使用者自第三方程式市集下載刷機工具時提出警告，也會封鎖已知的惡意程式。（編譯/陳曉莉）