Android的9月安全更新修复了被积极利用的零日漏洞和更多问题
Android 9 September security update fixes zero-day vulnerabilities and other issues actively exploited.
谷歌每月为Android发布安全更新。这些更新有时会包含针对已被分配最高严重性评级的问题的修补程序。
在最近的安全公告中,谷歌宣布有证据表明,被评为“高”严重性的CVE-2023-35674“可能正受到有限、有针对性的利用”。
此问题是一个“零日漏洞”,这意味着此前没有人知道如何修复它,而在开发人员能够解决问题之前,威胁行为者可以利用它。
此零日漏洞使恶意行为者能够在不需要用户交互的情况下升级权限。
在你过于担心之前,有几点需要注意。首先,被标记为“高”的漏洞并不是最严重的问题。严重程度比高更高(稍后详细介绍)。
其次,权限升级对于Android来说并不陌生。我已经报道Android十多年了,我见过类似的漏洞来来去去。好消息是,谷歌在发现和修补这些漏洞方面非常出色。
坏消息是,你必须等到谷歌发布9月份的安全更新,才能修复Android设备上的漏洞。
另外:为什么我不再使用第三方Android启动器
另一个好消息是,你的Android设备会在更新准备好时通知你,你只需要在提示时重新启动设备。一旦看到通知弹出窗口,你应该立即这样做。
如果你不确定你的手机有什么安全补丁,请转到设置>系统>系统更新,你将看到设备上的Android版本和已应用的安全更新。在我的Pixel 7 Pro上,我仍然使用的是8月份的安全更新,但我认为9月份的更新应该会在任何一天都可用。
至于9月份安全更新的其余部分,有三个被标记为“严重”的漏洞,它们如下(按CVE、参考、类型、严重程度和Android版本列出):
- CVE-2023-35658 A-274617156 RCE 严重 11, 12, 12L, 13
- CVE-2023-35673 A-273966636 RCE 严重 11, 12, 12L, 13
- CVE-2023-35681 A-271335899 RCE 严重 13
远程代码执行(RCE)漏洞尤其令人担忧,因为它们使威胁行为者能够在没有直接访问你的设备的情况下执行恶意代码。
对于9月份,谷歌发布了两套补丁,但只有第二套补丁(2023-09-05)解决了安全公告中发现的所有安全问题,以及第三方专有代码的补丁(例如在高通WLAN固件中发现的错误)。
另外:谷歌的下一个Pixel硬件活动将于10月4日举行,这要大或者不开展
需要记住的一件事是,如果你使用的是非Pixel手机,9月份的安全补丁会稍晚一些到达你的设备。这是因为谷歌将补丁发送给原始设备制造商(OEM),然后他们必须测试和调整补丁以适应其硬件。因此,如果你使用的是三星、华为、一加、Nothing或其他非谷歌的Android手机,你将不得不等待更长时间才能获得补丁。
无论如何,一旦在你的Android设备上看到更新出现(无论制造商是谁),请立即应用它。
