• 發布單位:TWCERT/CC
• 更新日期:2021-03-09
• 點閱次數:2572

韓國行動裝置大廠 Samsung 近日推出 2021 年三月份更新包，修復多個存於 Android 行動作業系統中的資安漏洞，Samsung 行動裝置用戶應立即更新裝置。

韓國行動裝置大廠 Samsung 近日推出 2021 年三月份更新包，修復多個存於 Android 行動作業系統中的資安漏洞，其中包括一個嚴重漏洞及多個高危險漏洞；Samsung 行動裝置用戶應立即更新裝置。

這些獲得更新的漏洞散見於執行階段、作業系統等相關組件中，總數共有 11 個；Samsung 是在 Google 推出 2021 年三月份的 Android 作業系統更新後，緊接著推出該品牌部分行動裝置適用的資安更新升級包。

據資安媒體 BleepingComputer 指出，該刊發現部分 Samsung Galaxy 系列裝置在 3 月 5 日開始陸續進行自動更新。

這次的更新中修復的最嚴重資料漏洞，首推編號為 CVE-2021-0397 的嚴重等級漏洞。這個漏洞存於 Android 作業系統中的藍牙連線裝置搜尋功能；駭侵者可以透過特製的藍牙資料傳輸觸發一個空指標（null pointer）錯誤，遠端執行任意程式碼。

其他在這次得到修復的的資安漏洞如下：

• CVE-2021-0395：系統重新啟動時的使用已釋放記憶體錯誤，可導致駭侵者提升執行權限；
• CVE-2017-14491：資料堆積記憶體暫存溢位錯誤，可導致駭侵者遠端執行任意程式碼；
• CVE-2021-0393：LiteralBuffer 錯誤，可導致駭侵者遠端執行任意程式碼；
• CVE-2021-0396：參數計數的差一錯誤（off-by-one），可導致駭侵者遠端執行任意程式碼。

Samsung 這次推出的資安漏洞修補包，除了修補上述資安漏洞外，也針對該公司自行開發的多個行動應用程式加強其功能；Samsung Galaxy 系列行動裝置（手機、平板）的用戶，均應立即更新系統，以避免駭侵者利用上述漏洞發動攻擊。