• 發布單位:TWCERT/CC
• 更新日期:2023-10-16
• 點閱次數:158

Google 近期推出 2023 年 10 月份 Android 軟體更新，適用於 Android 11 到 Android 13，一共修復多達 54 個資安漏洞，其中已有 2 個漏洞已遭駭侵者用於攻擊活動。

遭到駭侵者用於攻擊的資安漏洞，分別是 CVE-2023-4863 與 CVE-2023-4211；Google 在資安通報中指出這兩個漏洞已用於有限度的目標針對攻擊之中。

CVE-2023-4863 是一種存於泛用型開源程式庫 libwebp 的緩衝區溢位（buffer overflow）錯誤，許多大型知名軟體如 Chrome、Firefox、iOS、Microsoft Teams 等都受此漏洞衝擊而成為駭侵者的攻擊目標。

由於這個漏洞的影響範圍甚廣，不同受影響的公司都分別提出了漏洞通報；後來都歸納在 CVE-2023-4863 這個 CVE 編號之下。

而 CVE-2023-4211 是個存於 ARM 處理器中 Mali GPU 驅動程式的記憶體釋放後使用（use-after-free）漏洞，駭侵者可藉以在本地端存取或操弄機敏資料。

總體來說，這次的 Android 2023 年 10 月份資安更新，解決的漏洞存在的部分分列如下：

• Android Framework：13 個；
• 系統組件：12 個；
• Google Play：2 個；
• ARM 組件：5 個；
• Unisoc 晶片相關：1 個；
• Qualcomm 晶片相關：18 個（其中有 15 個為閉源）

而在漏洞的危險程度方面，這 54 個獲得修復的漏洞中，有 5 個列為「嚴重」(critical）等級，另有 2 個屬於遠端執行任意程式碼漏洞。Google 將分成兩波推出更新，第一波於 10 月 1 日推出，主要修復 Android 核心組件的漏洞，第二波則在 10 月 6 日推出，主要處理系統核心和閉源組件的漏洞。

由於多數的 Android 裝置都無法直接套用 Google 推出的系統更新，必須等待裝置製造商推出更新，因此用戶應密切注意更新的推出，且在等待期間應避免各種危險操作行為，例如自不明來源下載 apk 檔案等。