Съдържание:
Google пусна подробностите около пластира за сигурност на 2 април за Android, като напълно смекчава проблемите, описани в бюлетина преди няколко седмици, както и уби или други критични и умерени проблеми. Този е малко по-различен от предишните бюлетини, като се обърне специално внимание на уязвимостта на ескалацията на привилегиите във версии 3.4, 3.10 и 3.14 на ядрото на Linux, използвано в Android. Ще обсъдим това по-нататък в страницата. Междувременно ето разбивката на това, което трябва да знаете за пластира за този месец.
Актуализирани изображения на фърмуер вече са достъпни за поддържаните понастоящем устройства Nexus на сайта на Google Developer. Проектът с отворен код за Android вече има промени в съответните клонове и всичко ще бъде завършено и синхронизирано в рамките на 48 часа. По време на ефира се актуализират актуализираните за момента телефони и таблети на Nexus и ще следват стандартната процедура на Google за пускане - може да отнеме седмица или две, за да стигнете до вашия Nexus. Всички партньори - това означава, че хората, които са построили телефона ви, независимо от марката - са имали достъп до тези корекции от 16 март 2016 г. и те ще обявят и закърпят устройства в собствените си индивидуални графици.
Най-тежкият проблем е уязвимостта, която може да позволи отдалечено изпълнение на код при обработка на медийни файлове. Тези файлове могат да бъдат изпращани до вашия телефон по всякакъв начин - по имейл, уеб сърфиране в MMS или за незабавни съобщения. Други критични проблеми, свързани с кръпка, са специфични за DHCP клиента, производителния модул на Qualcomm и RF драйвера. Тези експлоатации биха могли да позволят да се стартира код, който трайно компрометира фърмуера на устройството, принуждавайки крайния потребител да се наложи отново да флаш на пълната операционна система - ако „ограниченията на платформата и услугите са деактивирани поради предложения за развитие“. Това говорят за сигурност, за да позволяват инсталиране на приложения от неизвестни източници и / или позволяват отключване на OEM.
Другите уязвими места на уязвимостта включват също методи за заобикаляне на Factory Reset Protection, проблеми, които биха могли да се използват, за да се позволи атака за отказ на услуга, и проблеми, които позволяват изпълнение на код на устройства с root. ИТ специалистите ще се радват да видят и проблеми с пощата и ActiveSync, които биха могли да позволят достъп до "чувствителна" информация, закърпена в тази актуализация.
Както винаги, Google също ни напомня, че не е имало съобщения за потребители, които са засегнати от тези проблеми, и те имат препоръчителна процедура, за да предотвратят превръщането на устройства в жертва на тези и бъдещите проблеми:
- Експлоатацията за много проблеми в Android се затруднява от подобрения в по-новите версии на платформата Android. Призоваваме всички потребители да актуализират до най-новата версия на Android, където е възможно.
- Екипът на Android Security активно следи за злоупотреби с Verify Apps и SafetyNet, които ще предупреждават потребителя за открити потенциално вредни приложения, които предстои да бъдат инсталирани. Инструментите за вкореняване на устройства са забранени в Google Play. За да защити потребителите, които инсталират приложения извън Google Play, Verify Apps е активиран по подразбиране и ще предупреждава потребителите за известни приложения за вкореняване. Проверете опитите на приложенията да идентифицират и блокират инсталирането на известни злонамерени приложения, които използват уязвимостта на ескалация на привилегии. Ако такова приложение вече е инсталирано, Verify Apps ще уведоми потребителя и ще се опита да премахне всички такива приложения.
- При необходимост приложенията за Google Hangouts и Messenger не предават автоматично медия на процеси като медиен сървър.
Относно проблемите, споменати в предишния бюлетин
На 18 март 2016 г. Google издаде отделен допълнителен бюлетин за сигурност относно проблемите в ядрото на Linux, използвани на много телефони и таблети с Android. Доказано е, че експлоатацията във версии 3.4, 3.10 и 3.14 на ядрото на Linux, използвана в Android, позволява на устройствата да бъдат трайно компрометирани - вкоренени, с други думи - и засегнатите телефони и други устройства да изискват повторно проблясък на операционната система, за да се възстанови. Тъй като приложението успя да демонстрира този подвиг, беше публикуван средномесечен бюлетин. Google спомена също, че устройствата на Nexus ще получат пластир „до няколко дни“. Този пластир никога не се е материализирал и Google не споменава защо в последния бюлетин за сигурност.
Проблемът - CVE-2015-1805 - е коригиран изцяло в актуализацията на сигурността на 2 април 2016 г. Клоновете на AOSP за версии Android 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1 са получили тази корекция и пренасочването към източника е в ход.
Google също така споменава, че устройствата, които може да са получили кръпка от 1 април 2016 г., не са били коригирани спрямо този конкретен експлоатация и само Android устройства с ниво на кръпка от 2 април 2016 г. или по-късно са актуални.
Актуализацията, изпратена до Verizon Galaxy S6 и Galaxy S6 edge е датирана на 2 април 2016 г. и наистина съдържа тези корекции.
Актуализацията, изпратена до T-Mobile Galaxy S7 и Galaxy S7 edge е датирана на 2 април 2016 г. и съдържа тези корекции.
Създаването на AAE298 за отключени телефони BlackBerry Priv е от 2 април 2016 г. и съдържа тези корекции. Издаден е в края на март 2016 г.
Телефоните, работещи с 3.18 версия на ядрото, не са засегнати от този конкретен проблем, но все пак изискват пластирите за други проблеми, разгледани в кръпка на 2 април 2016 г.
