Android 2023 年 10 月安全更新修补了两个被并用的漏洞

雅虎周一宣布披露 51 个必需漏洞的的软件，作为 2023 年 10 年末 Android 必需更新的一正因如此，其里之外修复恶意拦截里透过的两个0day必需漏洞。

第一个被透过的问题是 CVE-2023-4863（CVSS 评分为 8.8），这是 Libwebp 库里的堆缓冲区溢出，导致越界闪存存储和远程代码执行 (RCE)。

在2023 年 10 年末的Android 必需应于里，Google 解释知道该必需漏洞影响该系统元件，并对其比较严重程度进行了“比较严重”评级。

虽然这家科技巨头没有人提供者有关所捕捉到到的黑熊透过的具体文档，但该问题是由苹果电脑和多伦多所学校芒克学院的公民实验室小组辨认出并研究工作报告的，该小组常会具体详述与商业间谍操作该系统客户相关的拦截。该不足之处已被用来向 iPhone 截取间谍操作该系统。

依然接下来，客户依然在希望评估 CVE-2023-4863 的影响并解决问题该严重错误。迄今为止，Palo Alto Networks、1Password、Microsoft 和其他公司已经披露了必需应于。

值得注意的是，虽然据报道 CVE-2023-4863 已在黑熊被透过，但除了针对 iPhone 的拦截正因如此，没有人任何其他拦截的具体文档。

通常，Google 根据深受影响的元件将 Android 必需应于分为两个不同的的软件层级，但本年末的应于有第三正因如此，即 2023-10-06必需的软件层级，专门解决问题 CVE-2023-4863。

本年末 Android 里解决问题的第二个0day不足之处是 CVE-2023-4211，这是 Arm Mali GPU 固件里的一个严重错误，并不需要本地非豁免权服务器进行“不正确的 GPU 闪存处理过程操作来访问已释放的闪存” 。

“有证据指出，此必需漏洞可能深受到极小的、有选择性的透过。”雅虎和 Arm 在他们的应于里提到。

没有人关于这些拦截的文档。然而，雅虎依然研究工作报告引述，辨认出 Arm Mali GPU 固件必需漏洞被包含在复杂的必需漏洞透过链里，其最终目标是传播者商业间谍操作该系统。考虑到 Google 研究工作人员因研究工作报告该不足之处而获得了 Arm 的赞许，CVE-2023-4211 也可能属于这种上述情况。

CVE-2023-4211 作为2023-10-05 必需的软件层级的一正因如此赢取解决问题，该的软件解决问题了 Arm、MediaTek、Unisoc 和 Qualcomm 元件里的合计 26 个必需漏洞。

对于 Pixel 装置，Mali GPU 固件必需漏洞的的软件延至9 年末 18 日披露，并附有带外 Pixel 更新应于。

本年末 Android 更新的第一正因如此（2023-10-01 必需的软件层级）解决问题了平台框架和该系统元件里的 24 个不足之处。

所有 51 个必需漏洞均在运行必需的软件层级为2023 年 10 年末 6日或较低修改版的装置上赢取解决问题。