关于Android远程代码执行漏洞（CVE-2023-40088）的安全预警

一、 基本情况

Android发布了12月安全更新，修复了多个影响 Android 设备的安全漏洞，其中包括一个零点击远程代码执行漏洞（CVE-2023-40088）。

二、 漏洞描述

该漏洞存在于在 Android系统组件中，由于在com_android_bluetooth_btservice_AdapterService.cpp的callback_thread_event中存在释放后使用，可能导致内存损坏。可利用该漏洞导致远程代码执行，而无需用户交互。

此外，Android本月安全更新还修复了以下多个严重漏洞：

●  CVE-2023-40077：Android框架中的权限提升漏洞（已在11、12、12L、13、14中修复）

●  CVE-2023-40076：Android框架中的信息泄露漏洞（已在在14中修复）

●  CVE-2023-45866：Android系统中的权限提升漏洞（已在11、12、12L、13、14中修复）

●  CVE-2022-40507：该漏洞影响Qualcomm 闭源组件，将 HLOS 地址映射到列表时，由于 Core 中的双重释放而导致内存损坏。

三、 影响范围

Android 11、12、12L、13、14

四、 修复建议

目前这些漏洞已经修复，受影响Android用户可在更新可用时及时应用2023-12-01、2023-12-05或当前最新补丁集。

五、 参考链接

https://source.android.com/docs/security/bulletin/2023-12-01

https://nvd.nist.gov/vuln/detail/CVE-2023-40088