网络大厂在今年2月释出的Android安全更新中，修补了3个涉及PNG档案的重大漏洞，相关漏洞允许黑客在PNG中植入恶意软件，用户只要点击PNG图片就能触发漏洞，而惹来远程程序攻击。PNG档案的全名为Portable Network Graphics，为一专为网络传输所设计的文件格式，并准备用来取代GIF。

根据网络大厂的说明，本次更新最严重的安全漏洞藏匿在框架（Framework）中，允许远程黑客透过特制的PNG档案，在特权流程中执行任意程序，包括CVE-2019-1986、CVE-2019-1987及CVE-2019-1988，波及从Android 7.0到Android 9的各种Android版本。这代表Android用户只要点选可爱的猫、狗图片，或是看起来无害的风景照，都可能遭到远程程序攻击。来自Tripwire的安全研究人员Craig Young指出，相关漏洞与Android在描绘图片之前如何进行解析有关，这些漏洞之所以存在是因为Android依然在特权流程中解析媒体档案。Young认为，媒体处理是风险最高的活动之一，自动化的媒体解析不但应该要保持在最低限制，也应该在隔离的环境中执行。尽管网络大厂宣称尚未发现黑客的攻击行动，而且已将修补版本释出至Android开源项目（Android Open Source Project，AOSP），但目前只有诸如Pixel等网络大厂品牌的装置可直接取得网络大厂的安全更新，至于其它品牌的手机或平板则仍得视装置制造商或电信业者的更新时程才能取得修补，意谓着仍有众多的Android装置陷于此一重大安全风险中。内文来源： http://pctchp.org.tw/