Google 日前發表 Android 6 月安全公告,指出發現三個嚴重程度達到「Critial」致命程度的漏洞,當中最嚴重的系統組件漏洞,如果啟用了藍牙免提支援(HFP)的話,可能讓惡意分子在不需要額外執行權限和用戶任何操作下,透過藍牙遠程執行任意程碼。
今個月 Android 安全公告列出長長的漏洞清單,並且分了「2023-06-01」和「2023-06-05」兩個安全修補級別,其中「2023-06-01」是修補子集,是為了盡速修補致命漏洞而推出的,省略了一些要花時間來解決的內核組件和特定供應商組件的修補,包含 10 個框架漏洞和 13 個系統漏洞修補,涉及的 AOSP 版本由 Android 11 至 13。
至於「2023-06-05」則是修補所有漏洞的完全版本,除了上述「2023-06-01」修補之外,還包括 3 個 ARM 組件、兩個 Imagination Technologies 組件(圖像單元的供應商)、4 個 Unisoc(紫光展銳科技)元件、兩個 Widevine 數碼版權管理組件、5 個 Qualcomm 組件漏洞,與及 17 個 Qualcomm 閉源組件漏洞,全部嚴重程度都是「高」甚至「致命」,範圍涵蓋 Android、內核、PowerVR-GPU、硬件數碼版權管理、核心、無線區域網絡、音頻、顯示以至閉源組件,相當廣泛。
Android 的合作夥伴已經在約 1 個月前收到所有漏洞問題的通知,以便及早修補漏洞,而 Google 亦已經將這些有問題的源代碼補丁發布到 Android 開源項目 AOSP 程式庫。
因為今次漏洞涉及多個元件供應商,所以大家應該留意手機和平板等 Android 裝置的靭體更新和 Android 系統更新通知,立即安裝以策安全。
