Google近日發布2026年4月Android作業系統安全公告,修補多項漏洞,涵蓋框架層級(Framework),以及Google與恩智浦(NXP)、意法半導體(STMicroelectronics)、Thales等廠商的StrongBox元件,建議用戶盡速更新。
在這次修補的Android漏洞中,Google認定最嚴重的是零互動(zero‑interaction)漏洞CVE‑2026‑0049,存在於核心框架元件,攻擊者可利用這個漏洞,在無需與使用者互動或額外權限的情況下,導致本機系統發生拒絕服務(DoS)的狀況。不過就CVSS嚴重性評分來說,有些廠商給予CVE‑2026‑0049的CVSS v3評分為6.2分,屬於中度風險,並不是這次修補的漏洞中最高的,另一個漏洞CVE-2025-4865,涉及Google、恩智浦、意法半導體與Thales等廠商的StrongBox金鑰安全硬體模組,CVSS v3評分達到9.1分,為重大等級漏洞,Google並未揭露具體細節,推測可能影響硬體金鑰保護機制。
針對前述漏洞,Google建議用戶確認Android裝置的安全性修補程式等級(Security patch level),至少是2026‑04‑05以上版本,確保已包含這些漏洞的修補程式。
