Google於周一(2/1)更新Android平台,修補了13個安全漏洞,包含7個重大等級漏洞,其中3個漏洞涉及Wi-Fi功能,可能導致權限擴張或遠端程式攻擊。

在13個安全漏洞中有7個被列為「重大」(Critical)等級,除了3個與Wi-Fi驅動程式有關之外,其他4個分別存在於Mediaserver、高通(Qualcomm)效能模組與Debugger Daemon中。

3個與Wi-Fi有關的「重大」等級漏洞中,有兩個藏匿在博通(Broadcom)的Wi-Fi驅動程式中,可能導致遠端程式攻擊;一個則在高通(Qualcomm)的Wi-Fi驅動程式中,為一權限擴張漏洞。雖然還有一個是與Wi-Fi功能有關的權限擴張漏洞,但其影響性並未列入「重大」風險等級。

根據Google的說明,博通Wi-Fi驅動程式中的2個安全漏洞允許駭客利用特製的無線控制訊息封包來破壞核心記憶體,以進行遠端程式執行,當駭客與受害者位於同一網路中時即可能觸發該漏洞。相關漏洞被列為重大風險等級的主要原因在於它們完全不需要使用者的互動就能遠端執行程式。

高通Wi-Fi驅動程式漏洞則會讓裝置上的惡意程式於核心中執行任意程式,屬於權限擴張漏洞且可常駐,可能需要重刷作業系統才能修補該漏洞。

13個修補的漏洞中,Google認為最嚴重的是存在於Mediaserver的漏洞,只要處理郵件、瀏覽或多媒體訊息等媒體檔案都可能導致遠端程式攻擊。不過,迄今Google尚未收到與該漏洞有關的攻擊報告。

Google已透過自動更新率先修補Nexus裝置,並已將更新後的Nexus韌體發表在Google開發人員網站上,Builds LMY49G與Android M with Security Patch Level of February 1, 2016版本也都完成修補,至於修補後的原始碼則會在兩天內提交到Android開放源碼專案(Android Open Source Project,AOSP)中。

去年發表的Android 6.0 棉花糖(Android 6.0 Marshmallow)版本中新增了「安全修補等級」(Security Patch Level)的標示,可顯示最近一次的修補日期,棉花糖用戶可在「關於手機」(About phone)的選項中看到該標示。


Advertisement

更多 iThome相關內容