Google本周一(11/2)更新Android平台,这是Google每月的例行性**性更新,修补了7个**漏洞,其中有两个属于重大漏洞,包含一个可自远端执行程式的Mediaserver漏洞。
相关更新可透过空中下载(over-the-air,OTA)技术传输至Nexus装置,Google也会将此一新的Nexus韧体映像档发表至Google***网站,LMY48X以后或11月1日之后的Android 6.0(Marshmallow,棉花糖)版本亦将含有相关修补程式。Google已于今年10月5日通知合作夥伴相关问题,也准备在48小时内将修补程式的原始码贡献至Android开放源码专案中。
此次修补的7个**漏洞中有两个可导致远端程式执行的漏洞被列为重大(Critical)等级,其它则为重要(High)或一般(Moderate)等级,有4个漏洞属于权限扩张漏洞,另一个为资讯揭露漏洞。
两个重大漏洞的编号分别是CVE-2015-6608与CVE-2015-6609,前者的漏洞藏匿在Mediaserver中,当进行一个特制档案的媒体与资料处理时,相关漏洞允许骇客从远端造成记忆体毁坏并执行远端程式功能。
Google说明,受到影响的功能属于作业系统的核心部份,并有多项应用允许它接触远端内容,涵盖多媒体讯息及浏览器的媒体播放等,可能造成远端程式执行。
CVE-2015-6609漏洞则位于libutils中,这也是Android平台的另一个核心函式库,若遭到攻击也会导致远端程式执行。
Google采取多项策略以降低骇客攻击漏洞的成功机率,包含Android**平台、SafetyNet与Verify Apps等功能。除了呼吁使用者尽快升级到*新的Android平台之外,Google已禁止刷机工具在Google Play上架,而Verify Apps则会在使用者自第三方程式市集下载刷机工具时提出警告,也会封锁已知的恶意程式。(编译/陈晓莉)
公安机关备案号:
