Google пусна най-късната месечна актуализация за сигурност на Android, с пълни подробности и нов софтуер. Новата дата за ниво на пач на сигурност е 1 юни 2016 г. и промените в проекта с отворен код на Android трябва да бъдат завършени и публикувани в рамките на 48 часа. Google също ни казва, че партньорите са имали достъп до предупрежденията в този месечен бюлетин от 2 май или по-рано.
Google казва, че има нулеви отчети за всички устройства, експлоатирани активно от тези уязвимости.
Този месец носи корекции за 21 уязвимости в сигурността, вариращи по тежест от критични до умерени. Според Google, най-тежкият проблем е „критична уязвимост на защитата, която може да даде възможност за отдалечено изпълнение на код на засегнато устройство чрез множество методи като имейл, уеб сърфиране и MMS при обработка на медийни файлове“. Изглежда, че библиотеката Stagefright продължава да бъде популярен фокус за изследователите по сигурността, както и за екипа по сигурността на Google, което прави разделянето на медийния сървър от OS слоя и актуализирането поотделно в Android N още по-важно.
Google също подчертава (както прави всеки месец), че има нулеви отчети за всички устройства, експлоатирани активно от тези уязвимости, както и че защитата на защитата на ниво платформа и защитните услуги, като SafetyNet, рискува действително да бъде засегната доста ниска.
Бързо обобщение:
- Експлоатацията за много проблеми в Android се затруднява от подобрения в по-новите версии на платформата Android. Призоваваме всички потребители да актуализират до най-новата версия на Android, където е възможно.
- Екипът на Android Security активно следи за злоупотреби с Verify Apps и SafetyNet, които са предназначени да предупреждават потребителите за потенциално вредни приложения. Проверката на приложенията е активирана по подразбиране на устройства с Google Mobile Services и е особено важна за потребителите, които инсталират приложения извън Google Play. Инструментите за вкореняване на устройства са забранени в Google Play, но Verify Apps предупреждава потребителите, когато се опитват да инсталират открито приложение за вкореняване - независимо откъде идва. Освен това Verify Apps се опитва да идентифицира и блокира инсталирането на известни злонамерени приложения, които използват уязвимостта на ескалация на привилегии. Ако такова приложение вече е инсталирано, Verify Apps ще уведоми потребителя и ще се опита да премахне откритото приложение.
- При необходимост приложенията за Google Hangouts и Messenger не предават автоматично медия на процеси като медиен сървър.
Пълни подробности за всички адреси на проблеми можете да намерите на сайта на бюлетина за сигурност.
Няма дума за това кога да очакваме пластира за всяко друго устройство с Android, но настоящите устройства на Nexus, телефоните с Android One и Pixel C имат актуализация, която започва да се излъчва в ефир, като се започне от днес, и тя трябва да бъде представена на навреме всички устройства. Ако сте нетърпелив тип (и ако да, защо не стартирате Android N Beta?), Можете да мигате фабричните изображения, публикувани на сайта на Google за програмисти.
