谷歌向所有用戶和合作伙伴發(fā)布了11月份發(fā)布的Android操作系統(tǒng)安全公告，對(duì)關(guān)鍵遠(yuǎn)程代碼執(zhí)行(RCE)和權(quán)限升級(jí)漏洞進(jìn)行了修復(fù)。

  10月，Alphabet公司向部分Google Pixel用戶提供了這批更新的測(cè)試版本。無(wú)線（OTA）更新是一個(gè)供內(nèi)部使用的機(jī)密版本

RCE和EoP評(píng)級(jí)至關(guān)重要

  在手機(jī)制造商和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商將最新的Android補(bǔ)丁推送到用戶端之前，一個(gè)標(biāo)識(shí)為CVE-2018-9527的關(guān)鍵RCE會(huì)影響操作系統(tǒng)7.0（Nougat）到9（Pie）的版本。

  被列為關(guān)鍵的另一個(gè)RCE是CVE-2018-9531，它僅影響操作系統(tǒng)7.0版本。這兩個(gè)缺陷都存在于操作系統(tǒng)的媒體框架中，并且允許攻擊者在特權(quán)進(jìn)程的上下文中在系統(tǒng)上運(yùn)行任意代碼。

  具有相同嚴(yán)重性分?jǐn)?shù)的其他漏洞是兩個(gè)標(biāo)識(shí)為CVE-2018-9536和CVE-2018-9537的權(quán)限升級(jí)漏洞。它們會(huì)影響操作系統(tǒng)7.0版本。

信息披露漏洞

  可泄露Android系統(tǒng)信息的六個(gè)安全漏洞已獲得非常嚴(yán)重的評(píng)級(jí)。 它們可被遠(yuǎn)程利用，能顯示一般由本地安裝的應(yīng)用程序需要權(quán)限設(shè)置才能訪問(wèn)的數(shù)據(jù)。這些漏洞中有一半會(huì)影響多個(gè)Android版本（Nougat to Pie），而另一半漏洞僅影響最新版本的移動(dòng)操作系統(tǒng)。

高通公司的組件中存在大量漏洞

  電路板廠還了解到，谷歌還列出了高通公司組件中發(fā)現(xiàn)的14個(gè)安全問(wèn)題。其中三個(gè)被評(píng)為嚴(yán)重級(jí)別：CVE-2017-18317影響可信執(zhí)行環(huán)境(TEE)，并允許繞過(guò)與模塊相關(guān)的限制(SIM lock, SIM kill)。CVE-2018-5912是視頻組件中的緩沖區(qū)溢出。CVE-2018-11264沖擊了高通多芯片組的生物識(shí)別組件，指紋代碼中可能存在緩沖區(qū)溢出。

  刪除Libxaac庫(kù)谷歌在這個(gè)Android安全公告中宣布，它將Libxaac庫(kù)標(biāo)記為用于媒體壓縮和解碼的實(shí)驗(yàn)性庫(kù)，并且不再包含在Android構(gòu)建的產(chǎn)品中。這個(gè)決定背后的原因是發(fā)現(xiàn)了至少18個(gè)圖書(shū)館的安全問(wèn)題。一旦運(yùn)行最新的Android安全更新，該庫(kù)將從那些仍然使用該庫(kù)的設(shè)備中刪除。

刪除Libxaac庫(kù)

  Google在此Android安全公告中宣布，它將Libxaac庫(kù)標(biāo)記為用于媒體壓縮和解碼的實(shí)驗(yàn)庫(kù)，并且不再將其包含在Android構(gòu)建的產(chǎn)品中。做出這一決定背后的原因是在Libxaac中發(fā)現(xiàn)了不少于18個(gè)安全問(wèn)題。只要他們運(yùn)行最新的Android系統(tǒng)，該庫(kù)就會(huì)被設(shè)備中刪除。