虽然很多人仍然沉浸在愚人节的整蛊乐趣中，但有些事情是需要认真对待的。在愚人节当天，Google面向包括自家Pixel系列在内的Android手机发布了2019年4月安全补丁，修补了包括2项远端程式码执行（remote code execution, RCE）等在内11项高风险与重大漏洞。

Google 4月1日发布的安全修补程式中，CVE-2019-2027及 CVE-2019-2028的漏洞位于Android 媒体框架（Media framework），可让攻击者传送变造过的档案，进而在有权限情况下从远端执行任意程式码，被Google 研究人员列为重大风险等级。

Google团队另外还修补了9项高（High）风险漏洞，包括6项权限升级（elevation of privilege）漏洞。其中CVE-2019-2026位于Android框架，其他5项（CVE-2019-2030、CVE-2019-2031、CVE-2019-2033、CVE-2019-2034及CVE-2019-2035）位于作业系统中，可在让装置端的攻击者不需使用者互动而取得更高权限。此外作业系统核心还包括3项可导致资讯泄露的漏洞：CVE-2019-2038、CVE-2019-2039、CVE-2019-2040，皆被列为高风险。

除了少数漏洞外，大部份漏洞影响包括Android 7.0（7.1.1、7.1.2）、8.0/ 8.1及9等版本。所幸Google表示尚未接获有开採或滥用上述漏洞的受害通报。

主要Android厂商已在至少一个月前就获得通报，包括Google Pixel和Nexus装置、Samsung、Sony、LG、HTC、Nokia等品牌手机用户，理应近日会接到更新通知，Google也会在48小时内，将修补程式释出给Android开源码专案（Android Open Source Project, AOSP）资料库。

此外，Google预计在4月5日发布第二波安全修补程式，修补作业系统中1项远端程式码执行（RCE）漏洞，以及2项权限升级与1项资讯洩露漏洞。4月5日的修补更新则可解决上述所有漏洞。

在2019年4月安全补丁中针对Pixel系列进行了更新，其中包括已经停产的初代和第二代Pixel机型。除安全修复程序外，这些手机还具有一些功能增强功能。例如Pixel 3通过Google Assistant助理提高了语音解锁性能，同时初代Pixels改善了蓝牙连接。

在Google Pixel第一时间获得系统更新之外，Essential也宣布了推出该补丁，并修复了自身手机的一些BUG。即使在愚人节，Essential也以非常敬业的态度及时进行了更新。

但受到软件开发实力和市场策略等因素影响，并非所有厂商都能像 Google 这般「勤快」。实际上，从2015年开始，谷歌每月都会为安卓打上一次安全补丁，目的就是让用户能获得更安全的手机使用体验，不过有些第三方手机厂商，更新安全补丁速度却前后不一，有些干脆选择性遗忘，有些Android 手机厂商在安全更新推送这件事情上只是在「改版本号」，除了变变数字，实质的安全漏洞修补工作并没有做到位。

出现这样的问题，原因其实很复杂。主要还在于以下两点：

1、每月月初发布补丁，迭代频率高，对厂商人力提出较高挑战，有些用户拿到手机以后从不升级系统，这对于手机厂商而言，费再多力气去推送补丁也成效不大，厂商费力不讨好。对消费者来说，补丁的作用太隐性，不能明显感知，所以重视程度也不够，甚至很多消费者对于补丁的作用一无所知。

2、对于一些国际化程度较高的厂商来说，推送补丁没有想象的那么简单。不同国家不同地区的运营商，比如欧洲 VDF、拉美Claro、西班牙Movistar等都需要运营商测试，经常延误测试时间或者没有测试资源，导致月度发布的版本计划经常无法达成，影响到下个补丁版本，所以很难完成每月一次的升级。

综合这两点因素来看，国内很多厂商干脆对打补丁这件事情视而不见，这也导致一些旧机器会成为黑客攻击的重点对象，安全性堪忧。

来源：

iThome

Cnbeta

深几度

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com