Android 操作系統中五個嚴重漏洞已被修復

2月份針對移動操作系統的安全更新包括Qualcomm漏洞，被評為嚴重，CVSS評分為9.8。

Google在其二月份安全公告中修復了其Android操作系統中的五個嚴重漏洞。其中兩個漏洞是在Android媒體框架和系統中發現的遠程執行代碼漏洞。

Google報告了另外三個嚴重的Qualcomm漏洞，并由Qualcomm進行了修補-這是單獨的安全公告披露的一部分。這些漏洞之一（CVE-2020-11163）的常見漏洞評分系統（CVSS）等級為9.8（滿分10）。該漏洞與用于Wi-Fi通信的無線局域網（WLAN）芯片有關。

Google總共修補了Android OS中的22個漏洞，其中15個漏洞包括特權提升（EOP）類漏洞。Qualcomm解決了另外22個安全漏洞，并影響了一系列設備功能，例如Wi-Fi無線電，相機和設備顯示器。

補丁Cadence和Disclosure

在接下來的幾天和幾周內，將對Android操作系統和芯片組固件進行無線更新。Google自己的Pixel設備系列通常會首先與其他設備制造商的手機一起接收更新。在修補了大多數受影響的手機之前，通常不會發布修補漏洞的技術細節。

Android操作系統中最嚴重的漏洞是Media Framework組件中的一個安全漏洞，該漏洞允許遠程執行代碼（RCE），使遠程攻擊者可以使用特制文件在特權進程的上下文中執行任意代碼。據Google稱。該漏洞的跟蹤記錄為CVE-2021-0325，并在Android 8.1和9上獲得“嚴重”評級，但在Android 10、11和12上獲得“高”評級。

根據這份安全公告，“嚴重程度評估是基于利用該漏洞可能對受影響設備造成的影響，假設平臺和服務緩解是出于開發目的而關閉的，或者如果成功繞過的話。”

補丁本身將分兩部分提供，第一部分是修補Android操作系統中的20個漏洞，第二部分是解決Android內核中發現的23個漏洞以及Qualcomm公司的各種組件。

高通漏洞：已修補

更新中具有“嚴重”等級的其他三個漏洞會影響Android中的高通組件。根據公開信息，最嚴重的事件被跟蹤為CVE-2020-11272（CVSS得分9.8）并影響WLAN組件。

高通將該漏洞描述為“數據調制解調器中數組索引的不正確驗證”漏洞。它提供了其他有限的詳細信息，包括如果攻擊者觸發“在更新ikev2參數時緩沖區溢出”，則該漏洞可能會被攻擊者濫用。根據技術說明，Internet密鑰交換（IKEv2）是用于在IPsec協議套件中建立安全性關聯的協議。

另外兩個CVE-2020-11163和CVE-2020-11170影響了操作系統中的高通封閉源組件。

在更新中，Android內核，Google Play系統和Android運行時都分別收到了一個補丁，以修復分別被評為“高級”的漏洞。

上個月，谷歌還解決了Android中的43個漏洞，其中包括兩個嚴重的漏洞-其中一個在Android系統中發現，并允許遠程攻擊者執行任意代碼。

根據互聯網安全中心(CIS)發布的一篇關于更新的帖子，目前沒有證據表明2月份更新中修補的任何漏洞正在被積極利用。

CIS建議Android用戶“在經過適當測試后立即”將Google或其移動運營商提供的Android更新應用于易受攻擊的系統。該中心還提醒用戶，只能從Google Play商店中的受信任供應商處下載應用程序，并避免訪問不受信任的網站或跟蹤由未知或不受信任的來源提供的鏈接。

補丁Cadence和Disclosure

更多遠程代碼執行漏洞

高通漏洞：已修補