• 發布單位:TWCERT/CC
• 更新日期:2022-02-11
• 點閱次數:3151

Google 日前釋出 2022 年 2 月 Android 資安修補程式，修復多個漏洞，其中包括一個可讓駭侵者遠端提升執行權限，且危險程度為最高等級「嚴重」(Critical）的漏洞。

這個嚴重漏洞的 CVE 編號為 CVE-2021-39675，僅存於最新版本的 Android 12 中，可以在用戶不知情的情形下，遠端提升惡意軟體的執行權限。

這類漏洞通常會被用於手法純熟的惡意軟體發行者，不過 Google 表示並未見到該漏洞遭到大規模濫用於攻擊活動的跡象。

在這波漏洞修補中，還有另一個嚴重漏洞 CVE-2021-30317 也得到修補；該漏洞主要影響 Qualcomm 的封閉原始碼組件，也僅有使用 Qualcomm 零組件的 Android 裝置會受到影響。

另外，這次 Google 釋出的軟體修補包中，除了上述 2 個「嚴重」等級的漏洞之外，另外還有三十餘個屬於「高度」危險等級的漏洞，分別存於 Android system framework、media framework、系統組件、媒體播放系統，以及協力廠商 Amlogic、MTK、紫光、Qualcomm 等相關組件。

值得注意的是，由於市面上的 Android 裝置，其作業系統與資安更新，多半是由裝置製造商提供，無法直接套用 Google 推出的 Android 資安更新包（Google 自行推出的 Pixel 系列與少數第三方機種除外）；因此用戶應密切注意裝置製造廠的更新情報，在對應的更新推出後立即套用。如果因裝置老舊，製造商已不提供更新服務的話，應淘汰老舊設備。

• CVE編號：CVE-2021-39675
• 影響產品(版本)：Android 10、11、12
• 解決方案：密切注意裝置製造商的更新提供