Добре дошли в друг вълнуващ епизод на месечната актуализация на сигурността на Google. Пристигна февруари и това означава, че е време Google да очертае всички пластири, направени на Android, и да посочи кой е направил тези кръпки.
За непосветените Google (и проектът с отворен код на Android) приема принос от външни източници, както и от екипите в Google. Всеки месец тези вноски се изпращат до партньорите на Google, за да могат да актуализират собствените си устройства, а приблизително месец по-късно тези актуализации се прехвърлят към линията на Nexus. Някои партньори са наистина добри в актуализирането на продуктите си, но този месечен цикъл все още е предизвикателство за много компании, които използват Android на своите продукти.
Ето какво се оправя този месец.
Проблемите, отбелязани като критични от вътрешния екип на Google този месец, са свързани с ескалация на привилегиите и отдалечено изпълнение на код. Актуализацията през февруари ще се занимава с проблеми с отдалечен код в драйвер на Broadcom Wifi, както и в Mediaserver, като същевременно ще се занимава с проблемите с ескалацията в модула за изпълнение на Qualcomm, драйвера за Wifi и демона за отстраняване на грешки. Има и уязвимости при ескалация, които се адресират в общите системи за WiFi и Mediaserver на Android, но тези проблеми бяха отбелязани високо, вместо критични в списъка на тежестта на Google. Актуализация на библиотеката на Minikin адресира и възможното уязвимост на услугата.
Както винаги, Google твърди, че няма съобщения за активна експлоатация на клиенти, използвайки проблемите, които са били докладвани и закрепени в тази актуализация.
Два маркера на CVE с етикет „Умерен от Google“ насочват към начин за заобикаляне на защитата за възстановяване на фабричните настройки в съветника за настройка на Android и тези проблеми са коригирани. Въпреки че Google маркира този проблем умерен, важно е да разберете какво означава този проблем за потребителите. Съществуваше уязвимост, която позволяваше на някой, който знае как да заобиколи мярката за сигурност, която не позволява на някой да получи достъп до телефона ви само чрез извършване на фабрично нулиране. Както често се случва, Google твърди, че няма съобщения за активна експлоатация на клиенти, използвайки проблемите, които са били докладвани и закрепени в тази актуализация.
Потребителите на Nexus, които искат да променят тази актуализация в момента, могат да се насочат към сайта на Google Developer и да вземат най-новото издание за мигане. Актуализация на OTA с този пластир ще бъде налична за телефони и таблети на Nexus в близко бъдеще, въпреки че собствениците на BlackBerry Priv може би са забелязали, че тази актуализация на OTA е налична тази сутрин и може да бъде инсталирана сега. Ще се видим следващия месец!
