Google于11月2日完成每月的例行性安全性更新,此次Android平臺更新共修補了7個安全漏洞,其中有兩個屬于嚴重級別漏洞,包含一個可 自遠端執行程序的Mediaserver漏洞;其它則為重要(High)或一般(Moderate)等級,有4個漏洞屬于權限擴張漏洞,另一個為資訊揭露 漏洞。
此次修補兩個可導致遠端程序執行的漏洞被列為嚴重(Critical)等級,編號分別是CVE-2015-6608與CVE-2015-6609。
CVE-2015-6608的漏洞藏匿在Mediaserver中,當進行一個特制文件的媒體與資料處理時,相關漏洞允許黑客從遠端造成存儲體 毀壞并執行遠端程序功能。Google說明,受到影響的功能屬于操作系統的核心部份,并有多項應用允許它接觸遠端內容,涵蓋多媒體信息及瀏覽器的媒體播放 等,可能造成遠端程序執行。
CVE-2015-6609漏洞則位于libutils中,這也是Android平臺的另一個核心函式庫,若遭到攻擊也會導致遠端程序執行。
Google采取多項策略以降低黑客攻擊漏洞的成功機率,包含Android安全平臺、SafetyNet與Verify Apps等功能。除了呼吁使用者盡快升級到最新的Android平臺之外,Google已禁止刷機工具在Google Play上架,而Verify Apps則會在使用者自第三方應用市場下載刷機工具時提出警告,也會封鎖已知的惡意程序。
相關更新可通過OTA(over-the-air)技術傳送至Nexus設備,Google也會將此一新的Nexus固件映像文件發表至Google開發者網站,Android 6.0(Marshmallow棉花糖)版本也將含有相關修補程序。