Android 2023 年 10 月安全更新修补了两个被利用的漏洞

谷歌周一宣布发布 51 个漏洞的补丁，作为 2023 年 10 月 Android 安全更新的一部分，其中包括修复恶意攻击中利用的两个0day漏洞。

第一个被利用的问题是 CVE-2023-4863（CVSS 评分为 8.8），这是 Libwebp 库中的堆缓冲区溢出，导致越界内存写入和远程代码执行 (RCE)。

在2023 年 10 月的Android 安全公告中，Google 解释说该漏洞影响系统组件，并对其严重程度进行了“严重”评级。

虽然这家科技巨头没有提供有关所观察到的野外利用的具体信息，但该问题是由苹果公司和多伦多大学芒克学院的公民实验室小组发现并报告的，该小组经常详细介绍与商业间谍软件供应商相关的攻击。该缺陷已被用来向 iPhone 传送间谍软件。

过去几周，供应商一直在努力评估 CVE-2023-4863 的影响并解决该错误。迄今为止，Palo Alto Networks、1Password、Microsoft 和其他公司已经发布了安全公告。

值得注意的是，虽然据报道 CVE-2023-4863 已在野外被利用，但除了针对 iPhone 的攻击之外，没有任何其他攻击的详细信息。

通常，Google 根据受影响的组件将 Android 安全公告分为两个不同的补丁级别，但本月的公告有第三部分，即 2023-10-06安全补丁级别，专门解决 CVE-2023-4863。

本月 Android 中解决的第二个0day缺陷是 CVE-2023-4211，这是 Arm Mali GPU 驱动程序中的一个错误，允许本地非特权用户进行“不正确的 GPU 内存处理操作来访问已释放的内存” 。

“有证据表明，此漏洞可能受到有限的、有针对性的利用。”谷歌和 Arm 在他们的公告中指出。

没有关于这些攻击的信息。然而，谷歌过去报告称，发现 Arm Mali GPU 驱动程序漏洞被包含在复杂的漏洞利用链中，其最终目标是传播商业间谍软件。考虑到 Google 研究人员因报告该缺陷而获得了 Arm 的认可，CVE-2023-4211 也可能属于这种情况。

CVE-2023-4211 作为2023-10-05 安全补丁级别的一部分得到解决，该补丁解决了 Arm、MediaTek、Unisoc 和 Qualcomm 组件中的总共 26 个漏洞。

对于 Pixel 设备，Mali GPU 驱动程序漏洞的补丁已于9 月 18 日发布，并附有带外 Pixel 更新公告。

本月 Android 更新的第一部分（2023-10-01 安全补丁级别）解决了平台框架和系统组件中的 24 个缺陷。

所有 51 个漏洞均在运行安全补丁级别为2023 年 10 月 6日或更高版本的设备上得到解决。