Google釋出Android更新修補16個漏洞，包含兩個Mediaserver重大漏

william77

去年7月資安業者揭露了位於Android系統中Mediaserver的怯場漏洞，促使Google啟動史上最大規模的安全更新，8月起針對Android平台每月定期更新。這次更新一口氣修補了16個安全漏洞，其中包含兩個Mediaserver漏洞，為去年8月以來修補的超過30個Mediaserver漏洞。

Google周一（3/7）釋出Android平台的3月定期更新，修補了16個安全漏洞，包含6個重大漏洞（critical）、8個高風險漏洞（high）及2個中等漏洞（moderate），其中有兩個重大漏洞源自於Mediaserver元件。Google自去年8月以來已修補超過30個Mediaserver漏洞。
資安業者Zimperium在去年7月揭露了位於Mediaserver中的怯場（Stagefright）漏洞，該漏洞允許駭客經由多媒體簡訊自遠端入侵Android裝置，影響全球逾9.5億台的Android手機，促使Google啟動史上最大規模的安全更新，並自8月起針對Android平台展開每月定期更新。
Mediaserver為Android上用來處理各種媒體格式的函式庫，是該平台的核心功能之一，本月攸關Mediaserver的兩個漏洞編號分別是CVE-2016-0815與CVE-2016-0816，允許駭客以特製的檔案造成記憶體損毀，進而執行遠端程式攻擊。
資安專家認為，軟體總會有漏洞，當眾多研究人員都在檢驗同樣的程式時，發現漏洞的機率就愈高，而自從怯場漏洞以來，Mediaserver便成為研究人員鎖定的目標。有資安專家建議Google應找出更好的更新機制，以避免那些仰賴電信營運商或裝置製造商進行更新的用戶被駭。
除了Google自家的Nexus裝置可直接取得更新之外，Google已於今年2月1月通知合作夥伴，並計畫在48小時後將修補程式發表至Android開源碼專案（Android Open Source Project，AOSP）。上個月Edison分析師Richard Windsor即曾預測，Google很快就會收回Android升級的主導權，以解決該平台過於破碎及缺乏組織等問題。