Android 2023 年三月更新修復 60 個資安漏洞,包括 2 個嚴重遠端任意程式碼執行漏洞
- 發布單位:TWCERT/CC
- 更新日期:2023-03-09
- 點閱次數:9468
Google 日前推出 2023 年 3 月 Android 資安更新,共修復多達 60 個資安漏洞,其中包括 2 個嚴重等級的遠端任意程式碼執行漏洞,影響 Android 11、12、13 等版本。
這次的更新以兩波推出,分別是 2023-03-01 與 2023-03-05;第一波包括 31 個 Android 元件如 Framework、系統與 Google Play 的更新;第二波則包括 29 個位於 Android 核心與 MediaTek、Unisoc、Qualcomm 等第三方廠商元件的更新。
Google 指出,在第一波更新中,有一個存於 Android 系統的漏洞最為嚴重,可在無需用戶互動,也不需提升執行權限的情形下,遠端執行任意程式碼;另有兩個危險程度評級為「嚴重」等級的遠端執行任意程式碼漏洞 CVE-2023-20951、CVE-2023-20954,Google 為了避免其遭駭侵者利用,未提供相關資訊。
而在第二波更新中兩個嚴重等級的漏洞 CVE-2022-33213 與 CVE-2022-33256,則是存於 Qualcomm 未公開源碼的元件,分別發生在 Qualcomm 的 Data Modem 與 Multi-code Call Processor 中。這兩個漏洞將由 Qualcomm 另行提供說明與更新方式。
第二波中其他來自 Qualcomm、MediaTek 和 Unisoc 的漏洞,Google 在其資安通報中也表示,解決方案也將由各由各原廠自行提供。
Android 裝置用戶可按下「設定」-> 「系統」->「系統更新」->「檢查更新」或「設定」->「安全性與隱私」->「更新」->「安全性更新」等來進行更新,以修補已知漏洞。至於 Android 10 用戶,由於該系統已結束其生命周期,因此將無法取得安全性更新;建議升級至搭載最新版本 Android 系統的裝置。