谷歌今天向 Android 系统发布 2023-09 例行安全更新,其中 Pixel 系列受支持的设备将由谷歌直接推送更新,而第三方则需要等待 OEM 从 AOSP 获取补丁适配后推送。
本次更新依然修复了一大堆漏洞,其中有一枚漏洞可能已经遭到了黑客的利用,由于缺乏必要的证据,谷歌的用词比较谨慎:有迹象表明 CVE-2023-35674 可能受到有限的、有针对性的利用。
也就是这枚漏洞可能已经遭到了黑客的利用,当前证据太少,而且有针对性的利用表明该漏洞可能又是被拿来攻击某些特定目标,发起这类攻击的黑客一般身份都不简单,攻击目标也都是一些特定人物。
其他的危害程度较高的主要是提权漏洞,攻击者了利用 Android Framework 中的漏洞可能可以进行本地权限提升,而且不需要用户执行任何交互。
还有一个安全漏洞是远程代码执行的,也不需要用户进行任何交互,这类不需要用户交互的漏洞通常危害程度都非常高。
需要提醒的是谷歌对 Android 系统的支持也是有限的,一些旧版本可能已经停止了支持,比如本次发布的安全补丁主要针对的都是 Android 11、12、12L 和 13。
谷歌提供的缓解措施:
鉴于第三方 OEM 可能无法立即发布补丁修复漏洞,所以谷歌采用 Google Play Protect 等功能可以对漏洞进行缓解,这些缓解措施有助于降低这些未修复设备的漏洞的利用的可能性。
同时谷歌安全团队也通过 Google Play Protect 积极搜寻可能存在的滥用行为,例如当用户收到 Google Play 弹出的潜在有害应用警告,说明该应用可能存在利用系统漏洞或存在其他滥用行为 (某电商 APP:淦!)
下面是漏洞概览:
Android Framework:6 枚漏洞,均为高危级别,其中 CVE-2023-35674 漏洞可能已遭到黑客的利用
Android System:3 枚严重级别漏洞,11 枚高危级别漏洞,其中部分漏洞无需用户交互即可进行远程代码执行
Google Play:子组件 MediaProvider 存在两枚漏洞
高通组件:3 枚高危漏洞,涉及 WiFi 等组件
高通闭源组件:1 枚严重级别漏洞,8 枚高危级别漏洞,均为闭源组件,具体名称未公布
https://source.android.com/docs/security/bulletin/2023-09-01
