Google修補Android重大藍牙RCE漏洞

Google本周發布8月份Android安全更新，修補影響核心、系統、框架及晶片元件的30餘項漏洞，包括一項可經由藍牙發動攻擊的重大漏洞。

這些漏洞公布前至少1個月前，Google已經通知Android合作夥伴，而原始碼的修補程式將會在公布後48小時內釋出到Android Open Source Project（AOSP）儲存庫。

本月修補的漏洞中，最嚴重的是CVE-2022-20345，Google未提供細節，僅說明它可讓攻擊者在未取得執行權限情況下，經由藍牙遠端執行程式碼，是本月唯一被列為重大風險的漏洞，影響AOSP 12及12L。

除了RCE漏洞外，Android作業系統還修補了6項高風險漏洞，包括5項權限擴張（escalation of privilege，EOP）及1項阻斷服務攻擊（DoS）漏洞。

其他漏洞方面，Google也修補了框架部份9項高風險漏洞，當中有5項EoP漏洞及4項資訊洩露漏洞，以及媒體框架2個高風險的資訊洩露漏洞。

這些修補程式僅適用於Android 10以上版本。

Google同時以另一份安全公告，修補核心檔案系統內1項EoP漏洞（CVE-2022-1786），並釋出第三方晶片商提供的修補程式，影響元件包括Imagination Technologies的GPU、Qualcomm音訊元件、MediaTek GPU、Unisoc（紫光展銳）VSP。