Android 最新更新並未修復主要安全漏洞

剛推送的十一月 Android 安全性更新中，修復了 15 個重要漏洞。只是一個存在於 Linux 核心的漏洞未被包括在內，這漏洞會讓駭客迅速地取得 Android 系統的完整存取權。研究員 Phil Oester 在十月時發現這漏洞，並相信它遠在 2007 年就存在。漏洞被取名 Dirty COW 的原因，是因為它是基於複寫系統（copy-on-write）之中，或純粹是想搞笑吧。

不過 Google 也有在這個月的安全更新中，加入「補充」性質的韌體修復給 Nexus 和 Pixel 裝置。Threatpost 則指 Samsung 會在這個月推出有關的補丁。只是針對 Dirty COW 而對症下藥的官方的 Android 系統修復更新，則是需要待到 12 月。

Oester 向 V3 形容這漏洞執行簡單，不會失敗，而且存在了好一段日子了。但同時 Dirty COW 又是非常複雜的，他是靠著攔截所有 HTTP 的進入流量，才發現漏洞的真相，並在沙盒中成功複製。

來源: Android Security Bulletin

經由: Threatpost, Ars Technica, Engadget