谷歌向所有用戶和合作伙伴發(fā)布了11月份發(fā)布的Android操作系統(tǒng)安全公告，對關(guān)鍵遠程代碼執(zhí)行(RCE)和權(quán)限升級漏洞進行了修復(fù)。

  10月，Alphabet公司向部分Google Pixel用戶提供了這批更新的測試版本。無線（OTA）更新是一個供內(nèi)部使用的機密版本

RCE和EoP評級至關(guān)重要

  在手機制造商和移動網(wǎng)絡(luò)運營商將最新的Android補丁推送到用戶端之前，一個標識為CVE-2018-9527的關(guān)鍵RCE會影響操作系統(tǒng)7.0（Nougat）到9（Pie）的版本。

  被列為關(guān)鍵的另一個RCE是CVE-2018-9531，它僅影響操作系統(tǒng)7.0版本。這兩個缺陷都存在于操作系統(tǒng)的媒體框架中，并且允許攻擊者在特權(quán)進程的上下文中在系統(tǒng)上運行任意代碼。

  具有相同嚴重性分數(shù)的其他漏洞是兩個標識為CVE-2018-9536和CVE-2018-9537的權(quán)限升級漏洞。它們會影響操作系統(tǒng)7.0版本。

信息披露漏洞

  可泄露Android系統(tǒng)信息的六個安全漏洞已獲得非常嚴重的評級。 它們可被遠程利用，能顯示一般由本地安裝的應(yīng)用程序需要權(quán)限設(shè)置才能訪問的數(shù)據(jù)。這些漏洞中有一半會影響多個Android版本（Nougat to Pie），而另一半漏洞僅影響最新版本的移動操作系統(tǒng)。

高通公司的組件中存在大量漏洞

  電路板廠還了解到，谷歌還列出了高通公司組件中發(fā)現(xiàn)的14個安全問題。其中三個被評為嚴重級別：CVE-2017-18317影響可信執(zhí)行環(huán)境(TEE)，并允許繞過與模塊相關(guān)的限制(SIM lock, SIM kill)。CVE-2018-5912是視頻組件中的緩沖區(qū)溢出。CVE-2018-11264沖擊了高通多芯片組的生物識別組件，指紋代碼中可能存在緩沖區(qū)溢出。

  刪除Libxaac庫谷歌在這個Android安全公告中宣布，它將Libxaac庫標記為用于媒體壓縮和解碼的實驗性庫，并且不再包含在Android構(gòu)建的產(chǎn)品中。這個決定背后的原因是發(fā)現(xiàn)了至少18個圖書館的安全問題。一旦運行最新的Android安全更新，該庫將從那些仍然使用該庫的設(shè)備中刪除。

刪除Libxaac庫

  Google在此Android安全公告中宣布，它將Libxaac庫標記為用于媒體壓縮和解碼的實驗庫，并且不再將其包含在Android構(gòu)建的產(chǎn)品中。做出這一決定背后的原因是在Libxaac中發(fā)現(xiàn)了不少于18個安全問題。只要他們運行最新的Android系統(tǒng)，該庫就會被設(shè)備中刪除。