Google更新Android平台 修補七個安全漏洞

Google於11月2日完成每月的例行性安全性更新，此次Android平台更新共修補了7個安全漏洞，其中有兩個屬於嚴重級別漏洞，包含一個可 自遠端執行程序的Mediaserver漏洞；其它則為重要(High)或一般(Moderate)等級，有4個漏洞屬於權限擴張漏洞，另一個為資訊揭露 漏洞。

此次修補兩個可導致遠端程序執行的漏洞被列為嚴重(Critical)等級，編號分別是CVE-2015-6608與CVE-2015-6609。

CVE-2015-6608的漏洞藏匿在Mediaserver中，當進行一個特製檔案的媒體與資料處理時，相關漏洞允許黑客從遠端造成存儲體 毀壞並執行遠端程序功能。Google明，受到影響的功能屬於作業系統的核心部份，並有多項應用允許它接觸遠端內容，涵蓋多媒體信息及瀏覽器的媒體播放 等，可能造成遠端程序執行。

CVE-2015-6609漏洞則位於libutils中，這也是Android平台的另一個核心函式庫，若遭到攻擊也會導致遠端程序執行。

Google採取多項策略以降低黑客攻擊漏洞的成功機率，包含Android安全平台、SafetyNet與Verify Apps等功能。除了呼籲使用者盡快升級到最新的Android平台之外，Google已禁止刷機工具在Google Play上架，而Verify Apps則會在使用者自第三方應用市場下載刷機工具時提出警告，也會封鎖已知的惡意程序。

相關更新可通過OTA(over-the-air)技術傳送至Nexus設備，Google也會將此一新的Nexus韌體映像檔案發表至Google開發者網站，Android 6.0(Marshmallow棉花糖)版本也將含有相關修補程序。