安卓2020年1月更新发布40个补丁，含修复1个严重的 Media 框架 RCE漏洞

周一，谷歌发布2020年第一份安卓安全通告，发布了40个漏洞补丁，其中修复了Media 框架中的一个严重缺陷。

这次安全公告共分为两部分，一部分解决的是Framework、Media 框架和 System 中的漏洞，第二部分解决的是还存在于 Kernel、Qualcomm和 Qualcomm 闭源组件中的33个缺陷。“2020-01-01安全补丁”中修复的7个bug中，其中1个被评级为高危，只有1个被评级为严重级别。

谷歌解释称，“其中最严重的一个问题是 Media 框架中存在一个严重的安全漏洞，可导致远程攻击者使用一个特殊构造的文件在权限进程上下文中执行任意代码。”该漏洞的CVE 编号是 CVE-2020-0002，仅在安卓8.0、8.1和9版本中被认为是“严重”级别的漏洞，在安卓10中为“中危”级别。

Framework 中修复的3个漏洞中，其中两个是提权漏洞：一个影响安卓 8.0、8.1、9和10，另外一个仅影响安卓 8.0 版本；以及另外一个是拒绝服务问题，影响安卓 8.0、8.1、9和10。System 中修复的这三个缺陷都是信息泄露漏洞，影响安卓 8.0、8.1、9和10。

安卓安全更新的第二部分是“2020-01-05 安全补丁”修复了位于 Kernel 组件中的4个bug、位于 Qualcomm 组件中的11个漏洞以及 Qualcomm 闭源组件中的18个问题。其中最重要的漏洞是存在于Realtek rtlwifi 驱动中的一个严重漏洞，可导致远程代码执行后果。

谷歌还发布了单独的安全通告，详述了在 Pixel 设备中修复的漏洞。该通告共包括37个修复方案，其中33个是“2020-01-05安全补丁”中的补丁，余下4个是Camera中的“中危”漏洞补丁。

https://www.securityweek.com/androids-january-2020-update-patches-40-vulnerabilities

 点个“在看”，bounty 多多~