Google修复Android重大蓝牙RCE漏洞

DoNews 8月5日消息（刘文轩）Google发布8月Android安全更新，修复影响核心、系统、框架及芯片元件的30余项漏洞，包括一项可经由蓝牙发动攻击的重大漏洞。

这些漏洞公布前至少1个月前，Google已经通知Android合作伙伴，而原始代码的修复程序将会在公布后48小时内释出到Android Open Source Project（AOSP）储存库。

本月修复的漏洞中，最严重的是CVE-2022-20345，Google未提供细节，仅说明它可让攻击者在未取得执行权限情况下，经由蓝牙远程执行代码，是本月唯一被列为重大风险的漏洞，影响AOSP 12及12L。

除了RCE漏洞外，Android操作系统还修复了6项高风险漏洞，包括5项权限扩张（escalation of privilege，EOP）及1项阻断服务攻击（DoS）漏洞。

其他漏洞方面，Google也修复了框架部份9项高风险漏洞，包括5项EoP漏洞及4项信息泄露漏洞，以及媒体框架2个高风险的信息泄露漏洞。

这些修复程序仅适用于Android 10以上版本。

Google同时以另一份安全公告，修复核心文件系统内1项EoP漏洞（CVE-2022-1786），并释出第三方芯片商提供的修复程序，影响元件包括Imagination Technologies的GPU、Qualcomm音频元件、MediaTek GPU、Unisoc（紫光展锐）VSP。