一、漏洞概述

12月5日，啟明星辰VSRC監測到Android發佈了12月安全更新，修復了多個影響 Android 設備的安全漏洞，其中包括一個零點選遠端程式碼執行漏洞（CVE-2023-40088）。

該漏洞存在於在 Android系統元件中，由於在com_android_bluetooth_btservice_AdapterService.cpp的callback_thread_event中存在釋放後使用，可能導致記憶體損壞。可利用該漏洞導致遠端程式碼執行，而無需使用者互動。

此外，Android本月安全更新還修復了以下多個嚴重漏洞：

CVE-2023-40077：Android框架中的許可權提升漏洞（已在11、12、12L、13、14中修復）

CVE-2023-40076：Android框架中的資訊洩露漏洞（已在在14中修復）

CVE-2023-45866：Android系統中的許可權提升漏洞（已在11、12、12L、13、14中修復）

CVE-2022-40507：該漏洞影響Qualcomm 閉源元件，將 HLOS 地址對映到列表時，由於 Core 中的雙重釋放而導致記憶體損壞。

二、影響範圍

Android 11、12、12L、13、14

三、安全措施

3.1升級版本

目前這些漏洞已經修復，受影響Android使用者可在更新可用時及時應用2023-12-01、2023-12-05或當前最新補丁集。

3.2臨時措施

暫無。

3.3通用建議

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4參考連結

https://source.android.com/docs/security/bulletin/2023-12-01

https://nvd.nist.gov/vuln/detail/CVE-2023-40088