摘要：谷歌昨天發(fā)布了每月安全公告，包含針對(duì)Android系統(tǒng)的補(bǔ)丁。谷歌表示，這次修復(fù)了一個(gè)關(guān)鍵漏洞，該漏洞可讓攻擊者通過MMS或者網(wǎng)頁(yè)發(fā)送的惡意多媒體文件，在用戶設(shè)備上執(zhí)行惡意代碼。此外，谷歌還對(duì)該每月更新服務(wù)進(jìn)行了改名，改名以后叫做Android Security Bulletin（Android安全公告）。

先前此更新服務(wù)是叫做Nexus Security Bulletin，因?yàn)楣雀柰ㄟ^OTA的更新方式為所有Nexus設(shè)備提供自動(dòng)更新。鑒于當(dāng)前，絕大部分OEM廠商都會(huì)采用谷歌的安全更新，將之放到自家定制的Android系統(tǒng)中，谷歌便決定將Nexus Security Bulletin更名為Android Security Bulletin，作為對(duì)整個(gè)Android世界的指引。

谷歌這次公布了Android系統(tǒng)的40多個(gè)安全修復(fù)補(bǔ)丁，其中有12個(gè)標(biāo)注為“關(guān)鍵（critical）”，或者說是危險(xiǎn)，這也是最高安全級(jí)別了。Mediaserver組件中的RCE bug得到修復(fù)，還有Debuggerd、Qualcomm TrustZone、Wi-Fi Driver、NVIDIA Video Driver和內(nèi)核組件中的權(quán)限提升漏洞也得到修復(fù)。

阿里巴巴的安全研究人員孫偉超發(fā)現(xiàn)了Mediaserver組件中的絕大部分問題，該BUG影響到了谷歌支持中的所有Android版本（4.4.4、5.0.2、5.1.1、6.0、6.0.1）。其他為2016年5月Android Security Bulletin做出貢獻(xiàn)的安全研究人員還包括來自谷歌、C0RE Team、趨勢(shì)科技、百度、奇虎360、Mandiant和e2e-assure。

點(diǎn)擊這里訪問完整的Android Security Bulletin報(bào)告。