Google修補Android 11項重大及高風險安全漏洞

Google發佈安全公告，修補了包括2項遠端程式碼執行（remote code execution, RCE）等在內11項高風險與重大漏洞。

Google 4月1日發佈的安全修補程式中，CVE-2019-2027及 CVE-2019-2028的漏洞位於Android 媒體框架（Media framework），可讓攻擊者傳送變造過的檔案，進而在有權限情況下從遠端執行任意程式碼，被Google 研究人員列為重大風險等級。

Google團隊另外還修補了9項高（High）風險漏洞，包括6項權限升級（elevation of privilege）漏洞。其中CVE-2019-2026位於Android框架，其他5項（CVE-2019-2030、CVE-2019-2031、CVE-2019-2033、CVE-2019-2034及CVE-2019-2035）位於作業系統中，可在讓裝置端的攻擊者不需使用者互動而取得更高權限。此外作業系統核心還包括3項可導致資訊洩露的漏洞：CVE-2019-2038、CVE-2019-2039、CVE-2019-2040，皆被列為高風險。

除了少數漏洞外，大部份漏洞影響包括Android 7.0（7.1.1、7.1.2）、8.0/ 8.1及9等版本。所幸Google表示尚未接獲有開採或濫用上述漏洞的受害通報。

主要Android廠商已在至少一個月前就獲得通報，包括Google Pixel和Nexus裝置、Samsung、Sony、LG、HTC、Nokia等品牌手機用戶，理應近日會接到更新通知，Google也會在48小時內，將修補程式釋出給Android開源碼專案（Android Open Source Project, AOSP）資料庫。

此外，Google並預計在4月5日發佈第二波安全修補程式，修補作業系統中1項遠端程式碼執行（RCE）漏洞，以及2項權限升級與1項資訊洩露漏洞。4月5日的修補更新則可解決上述所有漏洞。