2023-12-10 09:19:06

Android安全公告刚刚更新了12月份的发行说明。此资源非常适合随时了解影响Android设备的一系列问题，无论是严重问题还是影响较小的问题。在此更新中，Android解决了80多个漏洞，其中许多漏洞严重程度极高。

如果软件错误允许发生以下任何一种情况，则视为严重：任意代码执行、绕过软件机制、远程访问敏感凭据、远程绕过、远程持久DoS或远程安全启动绕过。该公告强调，“本节中最严重的漏洞可能导致远程权限升级，而无需额外的执行权限。漏洞利用不需要用户交互。”

Google每月发布Android更新，以确保设备免受最新威胁。使用过时的手机可能不会造成任何重大威胁，但它代表了一种可以轻松避免的安全风险。在最新一轮更新中，Android应对了80多个威胁;其中有4个严重漏洞。

严重威胁被跟踪为CVE-2023-40077、CVE-2023-40088、CVE-2023-40076和CVE-2023-45866。CVE代表常见漏洞和暴露，并作为命名约定来帮助安全专业人员跟踪和引用特定威胁。我们不会用过多的技术来分解这些关键漏洞，但让我们看看每个漏洞是什么。

CVE-2023-40077是MetaDataBase.cpp函数中的安全问题。此问题是源于竞争条件的释放后使用(UAF)写入漏洞。简而言之，当软件行为取决于事件发生的时间时，就会出现竞争条件，从而引入不可预测的结果。

Android关键漏洞可能导致远程权限升级，而无需额外的执行权限

CVE-2023-40076暴露了其他用户未经授权访问凭据的途径。此外，根本原因在于权限绕过，这可能为本地权限升级铺平道路。

CVE-2023-40088是一个零点击RCE错误。此威胁如果被利用，可能会允许未经身份验证的远程用户在设备上执行代码。CVE-2023-45866对Android、Linux、macOS和iOS设备构成威胁。此漏洞允许绕过身份验证，可能导致受害者执行代码。该漏洞利用蓝牙配对机制中的一个错误，欺骗目标接受与蓝牙键盘的连接。

Android12月更新解决了84个安全漏洞，其中4个(CVE-2023-40077、CVE-2023-40088、CVE-2023-40076和CVE-2023-45866)非常严重。