谷歌向所有用户和合作伙伴发布了11月份发布的Android操作系统安全公告，对关键远程代码执行(RCE)和权限升级漏洞进行了修复。 [出自:jiwo.org]

10月，Alphabet公司向部分Google Pixel用户提供了这批更新的测试版本。无线（OTA）更新是一个供内部使用的机密版本

RCE和EoP评级至关重要

在手机制造商和移动网络运营商将最新的Android补丁推送到用户端之前，一个标识为CVE-2018-9527的关键RCE会影响操作系统7.0（Nougat）到9（Pie）的版本。

被列为关键的另一个RCE是CVE-2018-9531，它仅影响操作系统7.0版本。这两个缺陷都存在于操作系统的媒体框架中，并且允许攻击者在特权进程的上下文中在系统上运行任意代码。

具有相同严重性分数的其他漏洞是两个标识为CVE-2018-9536和CVE-2018-9537的权限升级漏洞。它们会影响操作系统7.0版本。

信息披露漏洞

可泄露Android系统信息的六个安全漏洞已获得非常严重的评级。 它们可被远程利用，能显示一般由本地安装的应用程序需要权限设置才能访问的数据。这些漏洞中有一半会影响多个Android版本（Nougat to Pie），而另一半漏洞仅影响最新版本的移动操作系统。

高通公司的组件中存在大量漏洞

谷歌还列出了高通公司组件中发现的14个安全问题。其中三个被评为严重级别：CVE-2017-18317影响可信执行环境(TEE)，并允许绕过与模块相关的限制(SIM lock, SIM kill)。CVE-2018-5912是视频组件中的缓冲区溢出。CVE-2018-11264冲击了高通多芯片组的生物识别组件，指纹代码中可能存在缓冲区溢出。

删除Libxaac库谷歌在这个Android安全公告中宣布，它将Libxaac库标记为用于媒体压缩和解码的实验性库，并且不再包含在Android构建的产品中。这个决定背后的原因是发现了至少18个图书馆的安全问题。一旦运行最新的Android安全更新，该库将从那些仍然使用该库的设备中删除。

删除Libxaac库

Google在此Android安全公告中宣布，它将Libxaac库标记为用于媒体压缩和解码的实验库，并且不再将其包含在Android构建的产品中。做出这一决定背后的原因是在Libxaac中发现了不少于18个安全问题。只要他们运行最新的Android系统，该库就会被设备中删除。