韓國行動裝置大廠 三星近日推出 2021 年三月份更新包,修復多個存於 Android 行動作業系統中的資安漏洞,其中包括一個嚴重漏洞及多個高危險漏洞;Samsung 行動裝置用戶應立即更新裝置。
這些獲得更新的漏洞散見於執行階段、作業系統等相關組件中,總數共有 11 個;Samsung 是在 Google 推出 2021 年三月份的 Android 作業系統更新後,緊接著推出該品牌部分行動裝置適用的資安更新升級包。
據資安媒體 BleepingComputer 指出,該刊發現部分 Samsung Galaxy 系列裝置在 3 月 5 日開始陸續進行自動更新。
這次的更新中修復的最嚴重資料漏洞,首推編號為 CVE-2021-0397 的嚴重等級漏洞。這個漏洞存於 Android 作業系統中的藍牙連線裝置搜尋功能;駭侵者可以透過特製的藍牙資料傳輸觸發一個空指標(null pointer)錯誤,遠端執行任意程式碼。
其他在這次得到修復的的資安漏洞如下:
- CVE-2021-0395:系統重新啟動時的使用已釋放記憶體錯誤,可導致駭侵者提升執行權限;
- CVE-2017-14491:資料堆積記憶體暫存溢位錯誤,可導致駭侵者遠端執行任意程式碼;
- CVE-2021-0393:LiteralBuffer 錯誤,可導致駭侵者遠端執行任意程式碼;
- CVE-2021-0396:參數計數的差一錯誤(off-by-one),可導致駭侵者遠端執行任意程式碼。
Samsung 這次推出的資安漏洞修補包,除了修補上述資安漏洞外,也針對該公司自行開發的多個行動應用程式加強其功能;Samsung Galaxy 系列行動裝置(手機、平板)的用戶,均應立即更新系統,以避免駭侵者利用上述漏洞發動攻擊。
本文轉載自TWCERT/CC。