谷歌向所有用户和合作伙伴发布了11月份发布的Android操作系统安全公告,对关键远程代码执行(RCE)和权限升级漏洞进行了修复。
10月,Alphabet公司向部分Google Pixel用户提供了这批更新的测试版本。无线(OTA)更新是一个供内部使用的机密版本
在手机制造商和移动网络运营商将最新的Android补丁推送到用户端之前,一个标识为CVE-2018-9527的关键RCE会影响操作系统7.0(Nougat)到9(Pie)的版本。
被列为关键的另一个RCE是CVE-2018-9531,它仅影响操作系统7.0版本。这两个缺陷都存在于操作系统的媒体框架中,并且允许攻击者在特权进程的上下文中在系统上运行任意代码。
具有相同严重性分数的其他漏洞是两个标识为CVE-2018-9536和CVE-2018-9537的权限升级漏洞。它们会影响操作系统7.0版本。
可泄露Android系统信息的六个安全漏洞已获得非常严重的评级。 它们可被远程利用,能显示一般由本地安装的应用程序需要权限设置才能访问的数据。这些漏洞中有一半会影响多个Android版本(Nougat to Pie),而另一半漏洞仅影响最新版本的移动操作系统。
谷歌还列出了高通公司组件中发现的14个安全问题。其中三个被评为严重级别:CVE-2017-18317影响可信执行环境(TEE),并允许绕过与模块相关的限制(SIM lock, SIM kill)。CVE-2018-5912是视频组件中的缓冲区溢出。CVE-2018-11264冲击了高通多芯片组的生物识别组件,指纹代码中可能存在缓冲区溢出。
删除Libxaac库谷歌在这个Android安全公告中宣布,它将Libxaac库标记为用于媒体压缩和解码的实验性库,并且不再包含在Android构建的产品中。这个决定背后的原因是发现了至少18个图书馆的安全问题。一旦运行最新的Android安全更新,该库将从那些仍然使用该库的设备中删除。
Google在此Android安全公告中宣布,它将Libxaac库标记为用于媒体压缩和解码的实验库,并且不再将其包含在Android构建的产品中。做出这一决定背后的原因是在Libxaac中发现了不少于18个安全问题。只要他们运行最新的Android系统,该库就会被设备中删除。