• 發布單位:TWCERT/CC
• 更新日期:2023-12-14
• 點閱次數:165

Google 日前發表 Android 2023 年 12 月資安更新修補包，一共修復多達 85 個漏洞，其中有一個嚴重漏洞 CVE-2023-40088，可在無需使用者互動的情形下遠端執行任意程式碼。

CVE-2023-40088 這個漏洞係存於 Android 系統元件之內，為一個免點按 RCE 漏洞，無需任何額外權限即可執行，是這批 85 個已修復漏洞中最嚴重的一個。Google 雖然沒有在資安通報中透露是否已有駭侵者利用該漏洞發動攻擊，但因為本漏洞可在無需使用者互動的情形下進行濫用，因此相當危險。

在這次修復的 85 個漏洞中，另有三個嚴重漏洞 CVE-2023-40077、CVE-2023-40076、CVE-2023-45866，是存於 Android Framework 與系統元件中的權限提升與資訊洩露漏洞。還有一個嚴重漏洞 CVE-2022-40507 則是存於 Qualcomm 閉源元件中。

和過去的 Android 資安修補推出方式類似，Google 也是分為兩波來推出其 12 月份 Android 資安更新；第二波更新除了包括前一波更新的所有修復之外，還外加第三方閉源元件與 Android 核心元件的修復更新；並非所有 Android 裝置都會需要第二波更新中的新增修補內容。

資安專家指出，由於 Android 生態系的複雜性，加上各品牌裝置原廠未必會在第一時間推出包含最新資安更新的韌體更新服務，甚至一些較小的品牌很少推出更新，因此使用者除了應在有更新可升級時立即更新外，也應加強對裝置的資安防護。

除 Google 自行推出與少數品牌 Android 裝置可立即更新外，建議其他品牌裝置應在原廠推出新版韌體後立即更新。