Indholdsfortegnelse:
Google har frigivet detaljerne omkring sikkerhedsrettelsen 2. april til Android, hvilket fuldstændigt afbødende problemer, der er beskrevet i en bulletin for flere uger siden, samt et dræbt eller andre kritiske og moderate problemer. Denne ene er en smule anderledes end tidligere bulletins, med særlig opmærksomhed omkring en sårbarhed med privilegieresuppalering i version 3.4, 3.10 og 3.14 af Linux-kernen, der bruges i Android. Vi diskuterer det længere nede på siden. I mellemtiden er her oversigten over, hvad du har brug for at vide om denne måneds patch.
Opdaterede firmwarebilleder er nu tilgængelige for aktuelt understøttede Nexus-enheder på Google Developer-webstedet. Android Open Source-projektet har disse ændringer rullet ud til de relevante filialer nu, og alt vil være komplet og synkroniseret inden for 48 timer. Overalt er der opdateringer til de aktuelt understøttede Nexus-telefoner og -tabletter, og de vil følge standardudviklingsproceduren for Google - det kan tage en uge eller to timer at komme til din Nexus. Alle partnere - det betyder de mennesker, der har bygget din telefon, uanset mærke - har haft adgang til disse rettelser fra 16. marts 2016, og de vil annoncere og lappe enheder på deres egne individuelle skemaer.
Det mest alvorlige problem, der behandles, er en sårbarhed, der kan tillade eksekvering af ekstern kode, når du behandler mediefiler. Disse filer kan sendes til din telefon på enhver måde - e-mail, webbrowsing MMS eller instant messaging. Andre kritiske problemer, der er rettet, er specifikke for DHCP-klienten, Qualcomm's Performance Module og RF-driver. Disse udnyttelser kunne tillade kørsel af kode, der permanent kompromitterer enhedens firmware, hvilket tvinger slutbrugeren til at være nødt til at blinke igen det fulde operativsystem - hvis "platform- og servicemindring er deaktiveret for udvikling foreslår." Det er sikkerhedsnerdet taler for, at apps fra ukendte kilder kan installeres og / eller tillader OEM-låsning.
Andre rettede sårbarheder inkluderer også metoder til at omgå Factory Reset Protection, problemer, der kan udnyttes til at tillade angreb på afslag på tjenester, og problemer, der tillader kodeudførelse på enheder med root. IT-fagfolk vil med glæde også se problemer med mail og ActiveSync, der kan give adgang til "følsomme" oplysninger, der er rettet i denne opdatering.
Som altid minder Google os også om, at der ikke er rapporteret om brugere, der er berørt af disse problemer, og at de har en anbefalet procedure for at forhindre, at enheder bliver offer for disse og fremtidige problemer:
- Udnyttelse af mange problemer på Android gøres vanskeligere ved forbedringer i nyere versioner af Android-platformen. Vi opfordrer alle brugere til at opdatere til den nyeste version af Android, hvor det er muligt.
- Android Security-teamet overvåger aktivt for misbrug med Verify Apps og SafetyNet, som advarer brugeren om fundne potentielt skadelige applikationer, der skal installeres. Enhedens rodfæstelsesværktøjer er forbudt i Google Play. For at beskytte brugere, der installerer applikationer uden for Google Play, er Verify Apps aktiveret som standard og advarer brugerne om kendte rooting-applikationer. Bekræft Apps forsøger at identificere og blokere installation af kendte ondsindede applikationer, der udnytter en sårbarhed med eskaleringsprivilegier. Hvis en sådan applikation allerede er installeret, vil Verify Apps underrette brugeren og forsøge at fjerne sådanne applikationer.
- I givet fald videresender ikke Google Hangouts og Messenger-applikationer automatisk medier til processer som f.eks. Mediaserver.
Hvad angår spørgsmål, der er nævnt i den forrige bulletin
Den 18. marts 2016 udsendte Google en separat supplerende sikkerhedsbulletin om problemer i Linux-kernen, der blev brugt på mange Android-telefoner og tablets. Det blev demonstreret, at en udnyttelse i versionerne 3.4, 3.10 og 3.14 af den Linux-kerne, der blev brugt i Android, tillader, at enheder permanent kompromitteres - rodfæstet, med andre ord - og påvirkede telefoner og andre enheder ville kræve en genblitz af operativsystemet for at gendanne. Fordi en applikation var i stand til at demonstrere denne udnyttelse, blev der offentliggjort en bulletin i midten af måneden. Google nævnte også, at Nexus-enheder ville modtage en programrettelse "inden for et par dage." Denne patch blev aldrig realiseret, og Google nævner ikke hvorfor i den seneste sikkerhedsbulletin.
Problemet - CVE-2015-1805 - er blevet rettet helt i sikkerhedsopdateringen 2. april 2016. AOSP-grene til Android version 4.4.4, 5.0.2, 5.1.1, 6.0 og 6.0.1 har modtaget denne programrettelse, og rollout til kilden er i gang.
Google nævner også, at enheder, der muligvis har modtaget en programrettelse dateret 1. april 2016, ikke er blevet rettet mod denne særlige udnyttelse, og kun Android-enheder med et programniveau dateret 2. april 2016 eller senere er aktuelle.
Opdateringen sendt til Verizon Galaxy S6 og Galaxy S6 edge er dateret 2. april 2016 og indeholder disse rettelser.
Opdateringen sendt til T-Mobile Galaxy S7 og Galaxy S7 edge er dateret 2. april 2016 og indeholder disse rettelser.
Lav AAE298 til ulåste BlackBerry Priv-telefoner er dateret 2. april 2016 og indeholder disse rettelser. Den blev frigivet i slutningen af marts 2016.
Telefoner, der kører en 3.18-kerneversion, påvirkes ikke af dette særlige emne, men kræver stadig patches til andre problemer, der er adresseret i patch 2. april 2016.
