2023年12月Android安全更新:修复了94个漏洞

发表时间: 2023-12-06 08:48

谷歌周一发布的2023 年 12 月 Android 安全更新修补了 94 个安全漏洞

更新的第一部分解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”级别。

谷歌在其公告(
https://source.android.com/docs/security/bulletin/2023-12-01)中指出:“这些问题中最严重的是系统组件中的一个关键安全漏洞,可能导致远程(近端/相邻)代码执行,而无需额外的执行权限。”

谷歌未公布有关该漏洞的其他细节,该 RCE 漏洞编号为CVE-2023-40088,影响 Android 11、12、12L、13 和 14,并且不需要用户交互即可成功利用。漏洞可能会被利用来操纵 Android 秘密下载和安装恶意软件,而用户毫不知情。

唯一的限制是攻击是“近端”的,这意味着距离Android 手机足够近,可以通过 Wi-Fi、蓝牙或 NFC 远程触发漏洞。

谷歌没有透露该漏洞是如何被发现的,也没有说明黑客是否已经在滥用它。但该补丁将在未来两天内通过 Android 开源项目发布。然后由设备制造商发布修复程序。三星和一加等 Android 厂商已承诺每月发布一次安全更新。谷歌通常会在两周或更短的时间内向 Pixel 手机发布安全更新。

2023 年 12 月 Android 更新,还解决了系统组件中的 15 个其他问题,即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。兼容 Android 11 至Android 14设备。

谷歌的发布说明补充说,它发现了操作系统中的其他几个关键漏洞,这些漏洞可以在没有用户交互的情况下被滥用来提升系统权限。一旦黑客站稳脚跟,这可能会让他们获得对其 Android 设备的管理访问权限。因此,受影响的用户应尽快安装 12 月更新。

该更新还修复了 Framework 组件中的 17 个漏洞,其中包括两个导致特权提升和信息泄露的严重错误。

本月 Android 更新的第二部分( 2023 年 12 月 5 日安全补丁级别)总共解决了 61 个问题,其中包括两个严重缺陷。

这些错误影响 System、Arm、Imagination Technologies、MediaTek、Misc OEM、Unisoc 和 Qualcomm 组件。

2023 年 12 月的 Wear OS 安全更新中包含了针对权限提升漏洞 (CVE-2023-40094) 的补丁。2023 年 12 月 Android Automotive 安全公告中未提及 CVE。

该公司尚未发布安全公告来描述本月 Pixel 设备的更新。谷歌没有提及本月解决的任何漏洞正在被利用。

参考链接:
https://www.securityweek.com/94-vulnerabilities-patched-in-android-with-december-2023-security-updates/