谷歌修复安卓System 组件中的多个 RCE 漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

本周，谷歌发布4月份安全补丁，共修复了50多个漏洞，包括4个严重的安卓 System 组件漏洞。

这四个严重漏洞均可导致远程代码执行后果，均影响 Android 8.0、8.1、9和10 版本，它们是 CVE-2020-0070、CVE-2020-0071、CVE-2020-0072 和 CVE-2020-0073。

谷歌在安全公告中指出，“其中 System 组件中的一个漏洞最为严重，可导致远程攻击者使用特别编制的文件在权限进程上下文中执行任意代码。”

另外，2020-04-01安全补丁还包含其它8个漏洞的修复方案，其中6个存在于 Framework 组件中（4个高危的提权漏洞、1个高危的信息泄露漏洞和1个中危信息泄露漏洞），另外2个存在于 Media 框架中（均为高危的提权缺陷）。

谷歌修复的其它43个漏洞影响多个组件，如 Framework（1个高危信息泄露漏洞）、多个 Kernel 组件（3个高危提权漏洞）、FPC 组件（1个高危提权漏洞和2个中危信息泄露漏洞）、高通组件（1个严重漏洞和5个高危漏洞）和高通闭源组件（8个严重漏洞和22个高危漏洞）。

谷歌还发布了 Pixel 设备的安全补丁，共修复14个漏洞，其中2个存在于 Kernel 组件中、9个存在于高通组件中、3个存在于闭源组件中。这些漏洞均为中危漏洞。

2020-04-05或后续安全补丁级别将解决谷歌设备上安卓安全公告中提到的所有漏洞。

推荐阅读

谷歌喊话三星：别再搞 Linux 内核代码了，安卓安全也不保了

安卓2020年1月更新发布40个补丁，含修复1个严重的 Media 框架 RCE漏洞

原文链接

https://www.securityweek.com/google-patches-critical-rce-vulnerabilities-androids-system-component

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

                           点个“在看”，一起玩耍