谷歌修復Android嚴重遠端程式碼執行漏洞,無需使用者互動即可利用

Editor發表於2023-12-05

安卓使用者得要注意了,最近會有一個新版本的補丁釋出,用以修復一個可能被濫用來劫持裝置的嚴重漏洞——無需使用者互動即可允許駭客在安卓手機上執行惡意程式碼。


谷歌修復Android嚴重遠端程式碼執行漏洞,無需使用者互動即可利用


根據Android 開源專案 (AOSP)的公告,2023年12月的Android安全更新解決了85個漏洞,其中最嚴重的是一個零點選遠端程式碼執行(RCE)漏洞。該零點選RCE漏洞(CVE-2023-40088)存在於Android的系統元件中,“零點選(Zero-Click)”意味著不需要使用者互動給予額外許可權就能被利用。


谷歌修復Android嚴重遠端程式碼執行漏洞,無需使用者互動即可利用


到目前為止,谷歌尚未透露是否已經有攻擊者針對這個安全漏洞進行了攻擊,也還沒有釋出更多有關該漏洞的其他細節。據瞭解,通常這類漏洞可以利用來在使用者毫不知情的情況下,靜默下載及安裝惡意軟體。值得慶幸的是該漏洞有著“鄰近”限制,這意味著駭客必須在物理上靠近攻擊目標才能遠端觸發漏洞——而這通常是透過Wi-Fi、藍芽或NFC來實現。


公告中還說到,作業系統中另外還發現了其他幾個嚴重漏洞,可以被濫用來提升系統許可權且無需使用者互動——這可能允許駭客在獲得立足點後獲取對目標裝置的管理訪問許可權。因此安卓使用者最好儘快安裝安全更新。



編輯:左右裡

資訊來源:AOSP、bleepingcomputer

轉載請註明出處和本文連結