• 發布單位:TWCERT/CC
• 更新日期:2022-12-08
• 點閱次數:152

Google 近日釋出 2022 年 12 月的 Android 行動作業系統資安更新，修復多達 81 個資安漏洞；其中有一個嚴重漏洞 CVE-2022-20472，駭侵者可透過此漏洞，經由藍牙連線，無需任何權限即可遠端執行任意程式碼。

這次 Android 資安更新包更新的所有漏洞中，含有以下 4 個嚴重 (Critical) 等級漏洞：

• CVE-2022-20472：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13；
• CVE-2022-20473：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13；
• CVE-2022-20411：存於 Android System 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13；
• CVE-2022-20498：存於 Android System 的資訊外洩漏洞，影響的 Android 版本為 Android 10 到 13。

其他獲得修復的 Android 資安漏洞類型，包括執行權限提升、遠端執行任意程式碼、資訊洩漏，以及分散式阻斷服務（Denial of Service, DoS）。

資安專家指出，在 Android 系統上的嚴重執行權限提升漏洞，可讓惡意軟體先以較低權限入侵裝置，然後再伺機利用該漏洞提升執行權限，接著載入更具危險性的惡意程式碼酬載，不可不防。

由於 Android 更新通常必須經由裝置原廠提供，無法直接套用 Google 推出的資安更新，因此用戶需注意原廠更新訊息；原廠可能不再支援過於老舊的裝置，應考慮更換為新機種。