Google Android 2020年3月安全更新发布了超过70个安全漏洞的补丁，其中包括media framework中的一个超危漏洞。

2020-03-01安全补丁程序级别总共修复了framework、media framework和system中的11个漏洞，该超危漏洞包含在其中。

该超危漏洞是个远程代码执行漏洞，编号CVE-2020-0032，影响了运行Android8.0版本，8.1版本，9版本和10版本的设备。

根据Google的安全公告，远程攻击者可借助特制的文件利用该漏洞在有权限的进程的上下文中执行任意代码。

Media framework中修复的其他两个漏洞都被评为高危，一个为提权漏洞（CVE-2020-0033），另一个为信息泄露漏洞（CVE-2020-0034）。前者影响Android 8.0版本，8.1版本，9版本和10版本，后者只影响Android 8.0版本和8.1版本。

本月framework中修复了一个漏洞，也就是编号为CVE-2020-0031的高危信息泄露漏洞。只有运行Android 10版本的设备受到该漏洞影响。

2020-03-01安全补丁程序级别修复的剩余7个漏洞影响system，都被评为高危漏洞。这些漏洞包括2个提权漏洞和5个信息泄露漏洞。

本月补丁的第二部分会以2020-03-05安全补丁程序级别推送给设备，包括60个安全漏洞。这些漏洞影响system，kernel组件，FPC，MediaTek，Qualcomm和Qualcomm闭源组件。

System中的漏洞为CVE-2019-2194，一个高危提权漏洞，影响Android 9版本。

影响kernel组件的所有4个漏洞都可导致权限提升。这些漏洞影响USB，networking和binder。

FPC Fingerprint TEE中修复了6个漏洞，三个被评为高危，可导致权限提升；另外三个被评为中危，可导致信息泄露。

Qualcomm组件中修复的所有漏洞都被评为高危，影响USB，WLAN，Audio和Graphics。

Qualcomm闭源组件中的40个漏洞被2020年3月Android安全公告引用。其中，16个漏洞被评为超危，而其余的被评为高危。

2020-03-05安全补丁程序级别修复的最后一个漏洞是位于MediaTek组件中的一个高危漏洞，可导致权限提升。该漏洞编号为CVE-2020-0069，存在于Mediatek Command Queue驱动程序中。

该漏洞最初在2019年4月被披露出来，联发科（Mediatek）第二个月发布了补丁。该漏洞显然影响联发科的所有64位芯片，并且该漏洞的exploit已存在一年有余，用户可利用该exploit获取设备上的root权限。

移动安全公司Lookout的Chris Hazelton在一封电子邮件评论中写到，“该漏洞存在于大概24款联发科芯片中，数百万台Android设备使用了这些芯片。由于这是个硬件漏洞，Google无法通过向Android操作系统推送OTA更新修复该漏洞。如果用户拥有运行联发科芯片的设备，用户应该添加移动安全工具，检测是否第三方利用该漏洞获取了设备的root权限，保护设备不受攻击。”

Hazelton接着表示，“组织的IT和安全团队应识别出使用脆弱的联发科芯片的Android设备。如果有员工使用脆弱的设备，应监控这些设备，并最终替换设备。”

本文源自Security Week；转载请注明出处。