Google周一(3/7)釋出Android平台的3月定期更新,修補了16個安全漏洞,包含6個重大漏洞(critical)、8個高風險漏洞(high)及2個中等漏洞(moderate),其中有兩個重大漏洞源自於Mediaserver元件。Google自去年8月以來已修補超過30個Mediaserver漏洞。

資安業者Zimperium在去年7月揭露了位於Mediaserver中的怯場(Stagefright)漏洞,該漏洞允許駭客經由多媒體簡訊自遠端入侵Android裝置,影響全球逾9.5億台的Android手機,促使Google啟動史上最大規模的安全更新,並自8月起針對Android平台展開每月定期更新。

Mediaserver為Android上用來處理各種媒體格式的函式庫,是該平台的核心功能之一,本月攸關Mediaserver的兩個漏洞編號分別是CVE-2016-0815與CVE-2016-0816,允許駭客以特製的檔案造成記憶體損毀,進而執行遠端程式攻擊。

資安專家認為,軟體總會有漏洞,當眾多研究人員都在檢驗同樣的程式時,發現漏洞的機率就愈高,而自從怯場漏洞以來,Mediaserver便成為研究人員鎖定的目標。有資安專家建議Google應找出更好的更新機制,以避免那些仰賴電信營運商或裝置製造商進行更新的用戶被駭。

除了Google自家的Nexus裝置可直接取得更新之外,Google已於今年2月1月通知合作夥伴,並計畫在48小時後將修補程式發表至Android開源碼專案(Android Open Source Project,AOSP)。上個月Edison分析師Richard Windsor即曾預測,Google很快就會收回Android升級的主導權,以解決該平台過於破碎及缺乏組織等問題。

熱門新聞

Advertisement