發布單位:TWCERT/CC
更新日期:2023-03-09
Google 日前推出 2023 年 3 月 Android 資安更新,共修復多達 60 個資安漏洞,其中包括 2 個嚴重等級的遠端任意程式碼執行漏洞,影響 Android 11、12、13 等版本。
這次的更新以兩波推出,分別是 2023-03-01 與 2023-03-05;第一波包括 31 個 Android 元件如 Framework、系統與 Google Play 的更新;第二波則包括 29 個位於 Android 核心與 MediaTek、Unisoc、Qualcomm 等第三方廠商元件的更新。
Google 指出,在第一波更新中,有一個存於 Android 系統的漏洞最為嚴重,可在無需用戶互動,也不需提升執行權限的情形下,遠端執行任意程式碼;另有兩個危險程度評級為「嚴重」等級的遠端執行任意程式碼漏洞 CVE-2023-20951、CVE-2023-20954,Google 為了避免其遭駭侵者利用,未提供相關資訊。
而在第二波更新中兩個嚴重等級的漏洞 CVE-2022-33213 與 CVE-2022-33256,則是存於 Qualcomm 未公開源碼的元件,分別發生在 Qualcomm 的 Data Modem 與 Multi-code Call Processor 中。這兩個漏洞將由 Qualcomm 另行提供說明與更新方式。
