Google 本周发布了 12 月份的 Pixel/Nexus 安全公告，其中修复了一处致命的加密问题，一同释出的还包括其它 49 个补丁程序。

这些漏洞中有 5 个属于高危，包括 1 个 EoP 漏洞（CVE-2017-13167）和 4 个 DoS 漏洞。而唯一的致命漏洞（CVE-2017-14907）则与 “高通闭源组件” 存在关联，该漏洞会削弱手机的加密强度。

CVE-2017-14907 的描述中写道：“对于 Android MSM、Firefox OS MSM、QRD Android 和基于 CAF Linux 内核的 Android 版本，在密钥派生的过程中会降低手机的加密强度。”

Android CAF（Custom Android Firmware）是为支持高通芯片组而开发的 Linux 内核分支。而高通 MSM 芯片是为旧型号的高端手机生产的处理器，Android MSM、Firefox OS MSM 和 QRD（Qualcomm Reference Design）Android 都属于 Android 的项目，用于扩展对高通 MSM 芯片的支持。

据知情人士透露，该漏洞是在 5 月份时发现的，高通当时就进行了修复并将更新发给了相关合作厂商。而高通也拒绝就此漏洞发表评论。

此外，Pixel/Nexus 安全公告恰好是和 Android 安全公告同一天发布的，后者包含 47 个补丁，其中有 10 个属于高危。最严重的是 Media 框架中的一个安全漏洞，攻击者可以借助精心构造的文件在特权进程的上下文中实现任意代码执行。

这些受影响的 Media 框架编解码器是 libmpeg2、libhevc、libavc 和 libskia，相应的漏洞编号为：CVE-2017-0872、CVE-2017-0876、CVE-2017-0877、CVE-2017-0878 和 CVE-2017-13151。

Google 在 Android 安全公告中同样提到了高通关键组件漏洞，其中有 3 个也与 RCE 有关，其它受影响厂商还包括 Broadcom、MediaTek 和 NVIDIA。

目前补丁已经通过相关厂商进行了推送，用户应尽快更新。