Android 被曝出严重的RCE漏洞：可以获得系统最高权限，服务器的控制权

远程连接命令/代码执行漏洞，简称RCE漏洞，能够让攻击者直接向后台服务器远程写入服务器系统命令或者代码，从而控制后台系统。RCE分为远程连接命令执行ping和远程代码执行evel命令木马。RCE高危致命漏洞可以获得系统最高权限，能直接获取服务器的控制权

近日，Android 被曝出严重的RCE漏洞，影响Android 8.0至10版本。漏洞被跟踪为CVE-2020-0117和CVE-2020-8597。

这些漏洞中最重要的是System中的关键漏洞，可以利用该漏洞远程执行任意代码。Google 解释说，要利用此漏洞，攻击者需要使用特制的传输方式。

谷歌还发布了针对System中两个高严重性问题的补丁程序，这些补丁程序可用于信息泄露，但仅影响Android 10。

所有系统漏洞均已作为2020-06-01安全补丁程序级别的一部分进行了修补，该补丁程序还解决了Framework中的三个高风险问题（两个特权提升和一个信息泄露）和Media框架中的两个高严重性漏洞（一种特权提升和一种信息披露）。

本月修复的其余25个问题已作为2020-06-05安全补丁程序级别的一部分收到了补丁程序。其中包括Framework中的一种信息泄露，System中的一种特权提升，Kernel组件中的两种特权提升和一种信息泄露以及Qualcomm组件和Qualcomm闭源组件中的20个未指定的漏洞。

谷歌本周还为Pixel设备发布了一组新的安全补丁，已解决总共118个漏洞。其中两个被评为高严重性，其余116个为中度。受影响的组件包括Android运行时，框架，媒体框架，系统，内核组件，高通组件和高通封闭源组件。

Pixel设备将收到2020-06-05补丁程序级别的更新，此更新将修复所有这些缺陷以及2020年6月Android安全公告中提到的漏洞。