Google一口氣修補13個Android漏洞，包含7個重大漏洞

　　Google于周一(2/1)更新Android平臺，修補了13個安全漏洞，包含7個重大等級漏洞，其中3個漏洞涉及Wi-Fi功能，可能導致權限擴張或遠端程式攻擊。

　　在13個安全漏洞中有7個被列為“重大”(Critical)等級，除了3個與Wi-Fi驅動程式有關之外，其他4個分別存在于Mediaserver、高通(Qualcomm)效能模組與Debugger Daemon中。

　　3個與Wi-Fi有關的“重大”等級漏洞中，有兩個藏匿在博通(Broadcom)的Wi-Fi驅動程式中，可能導致遠端程式攻擊;一個則在高通(Qualcomm)的Wi-Fi驅動程式中，為一權限擴張漏洞。雖然還有一個是與Wi-Fi功能有關的權限擴張漏洞，但其影響性并未列入“重大”風險等級。

　　根據(jù)Google的說明，博通Wi-Fi驅動程式中的2個安全漏洞允許駭客利用特制的無線控制訊息封包來破壞核心記憶體，以進行遠端程式執(zhí)行，當駭客與受害者位于同一網(wǎng)路中時即可能觸發(fā)該漏洞。相關漏洞被列為重大風險等級的主要原因在于它們完全不需要使用者的互動就能遠端執(zhí)行程式。

　　高通Wi-Fi驅動程式漏洞則會讓裝置上的惡意程式于核心中執(zhí)行任意程式，屬于權限擴張漏洞且可常駐，可能需要重刷作業(yè)系統(tǒng)才能修補該漏洞。

　　13個修補的漏洞中，Google認為最嚴重的是存在于Mediaserver的漏洞，只要處理郵件、瀏覽或多媒體訊息等媒體檔案都可能導致遠端程式攻擊。不過，迄今Google尚未收到與該漏洞有關的攻擊報告。

　　Google已透過自動更新率先修補Nexus裝置，并已將更新后的Nexus韌體發(fā)表在Google開發(fā)人員網(wǎng)站上，Builds LMY49G與Android M with Security Patch Level of February 1, 2016版本也都完成修補，至于修補后的原始碼則會在兩天內提交到Android開放源碼專案(Android Open Source Project，AOSP)中。

　　去年發(fā)表的Android 6.0 棉花糖(Android 6.0 Marshmallow)版本中新增了“安全修補等級”(Security Patch Level)的標示，可顯示最近一次的修補日期，棉花糖用戶可在“關于手機”(About phone)的選項中看到該標示。