Google一口气修补13个Android漏洞，包含7个重大漏洞

　　Google于周一(2/1)更新Android平台，修补了13个安全漏洞，包含7个重大等级漏洞，其中3个漏洞涉及Wi-Fi功能，可能导致权限扩张或远端程式攻击。

　　在13个安全漏洞中有7个被列为“重大”(Critical)等级，除了3个与Wi-Fi驱动程式有关之外，其他4个分别存在于Mediaserver、高通(Qualcomm)效能模组与Debugger Daemon中。

　　3个与Wi-Fi有关的“重大”等级漏洞中，有两个藏匿在博通(Broadcom)的Wi-Fi驱动程式中，可能导致远端程式攻击;一个则在高通(Qualcomm)的Wi-Fi驱动程式中，为一权限扩张漏洞。虽然还有一个是与Wi-Fi功能有关的权限扩张漏洞，但其影响性并未列入“重大”风险等级。

　　根据Google的说明，博通Wi-Fi驱动程式中的2个安全漏洞允许骇客利用特制的无线控制讯息封包来破坏核心记忆体，以进行远端程式执行，当骇客与受害者位于同一网路中时即可能触发该漏洞。相关漏洞被列为重大风险等级的主要原因在于它们完全不需要使用者的互动就能远端执行程式。

　　高通Wi-Fi驱动程式漏洞则会让装置上的恶意程式于核心中执行任意程式，属于权限扩张漏洞且可常驻，可能需要重刷作业系统才能修补该漏洞。

　　13个修补的漏洞中，Google认为最严重的是存在于Mediaserver的漏洞，只要处理邮件、浏览或多媒体讯息等媒体档案都可能导致远端程式攻击。不过，迄今Google尚未收到与该漏洞有关的攻击报告。

　　Google已透过自动更新率先修补Nexus装置，并已将更新后的Nexus韧体发表在Google开发人员网站上，Builds LMY49G与Android M with Security Patch Level of February 1, 2016版本也都完成修补，至于修补后的原始码则会在两天内提交到Android开放源码专案(Android Open Source Project，AOSP)中。

　　去年发表的Android 6.0 棉花糖(Android 6.0 Marshmallow)版本中新增了“安全修补等级”(Security Patch Level)的标示，可显示最近一次的修补日期，棉花糖用户可在“关于手机”(About phone)的选项中看到该标示。