按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Android 2022 年 12 月資安更新,共修復 81 個資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-12-08
  • 點閱次數:5846
Android 2022 年 12 月資安更新,共修復 81 個資安漏洞 TWCERT/CC

Google 近日釋出 2022 年 12 月的 Android 行動作業系統資安更新,修復多達 81 個資安漏洞;其中有一個嚴重漏洞 CVE-2022-20472,駭侵者可透過此漏洞,經由藍牙連線,無需任何權限即可遠端執行任意程式碼。

這次 Android 資安更新包更新的所有漏洞中,含有以下 4 個嚴重 (Critical) 等級漏洞:

  • CVE-2022-20472:存於 Android Framework 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;
  • CVE-2022-20473:存於 Android Framework 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;
  • CVE-2022-20411:存於 Android System 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;
  • CVE-2022-20498:存於 Android System 的資訊外洩漏洞,影響的 Android 版本為 Android 10 到 13。

其他獲得修復的 Android 資安漏洞類型,包括執行權限提升、遠端執行任意程式碼、資訊洩漏,以及分散式阻斷服務(Denial of Service, DoS)。

資安專家指出,在 Android 系統上的嚴重執行權限提升漏洞,可讓惡意軟體先以較低權限入侵裝置,然後再伺機利用該漏洞提升執行權限,接著載入更具危險性的惡意程式碼酬載,不可不防。

由於 Android 更新通常必須經由裝置原廠提供,無法直接套用 Google 推出的資安更新,因此用戶需注意原廠更新訊息;原廠可能不再支援過於老舊的裝置,應考慮更換為新機種。

回頁首