Google har udgivet den seneste månedlige sikkerhedsopdatering til Android med fulde detaljer og ny software tilgængelig. Den nye dato for sikkerhedspatchniveau er 1. juni 2016, og ændringer til Android Open Source-projektet skal være færdige og offentliggjort inden for 48 timer. Google fortæller os også, at partnere har haft adgang til advarslerne i denne måneds bulletin siden 2. maj eller tidligere.
Google siger, at der har været nul rapporter om enheder, der er aktivt udnyttet af disse sårbarheder.
Denne måned bringer rettelser til 21 sikkerhedssårbarheder, der spænder i sværhedsgrad fra kritisk til moderat. Ifølge Google er det mest alvorlige problem "en kritisk sikkerhedssårbarhed, der kan muliggøre fjernudførelse af kode på en berørt enhed ved hjælp af flere metoder såsom e-mail, webbrowsing og MMS, når du behandler mediefiler." Det ser ud til, at Stagefright-biblioteket fortsat er et populært fokus for sikkerhedsforskere såvel som Googles sikkerhedsteam, hvilket gør opsplitning af medieserveren fra OS-laget og opdatering separat i Android N endnu vigtigere.
Google understreger også (som det gør hver måned), at der har været nul rapporter om enheder, der er aktivt udnyttet af disse sårbarheder, og at sikkerhedsbeskyttelse og platformbeskyttelse på platformniveau som SafetyNet risikerer at blive påvirket ganske lavt.
En hurtig oversigt:
- Udnyttelse af mange problemer på Android gøres vanskeligere ved forbedringer i nyere versioner af Android-platformen. Vi opfordrer alle brugere til at opdatere til den nyeste version af Android, hvor det er muligt.
- Android Security-teamet overvåger aktivt for misbrug med Verify Apps og SafetyNet, som er designet til at advare brugere om potentielt skadelige applikationer. Bekræft, at apps er som standard aktiveret på enheder med Google Mobile Services, og er især vigtigt for brugere, der installerer applikationer uden for Google Play. Enhedens rodfæstelsesværktøjer er forbudt inden for Google Play, men Verify Apps advarer brugere, når de forsøger at installere en detekteret rooting-applikation - uanset hvor det kommer fra. Derudover forsøger Verify Apps at identificere og blokere installation af kendte ondsindede applikationer, der udnytter en sårbarhed med eskaleringsprivilegier. Hvis en sådan applikation allerede er installeret, vil Verify Apps underrette brugeren og forsøge at fjerne det detekterede program.
- I givet fald videresender ikke Google Hangouts og Messenger-applikationer automatisk medier til processer som f.eks. Mediaserver.
Fuldstændige detaljer om alle problemstillingerne findes på sikkerhedsbulletinens websted.
Der er ikke noget ord på, hvornår man kan forvente programrettelsen til nogen anden Android-drevet enhed, men nuværende Nexus-enheder, Android One-telefoner og Pixel C har en opdatering, der skubber ud over luften, idet den starter i dag, og den skal rulles ud til alle enheder i rette tid. Hvis du er den utålmodige type (og i bekræftende fald, hvorfor kører du ikke Android N Beta?), Kan du blinke fabriksbillederne, der er lagt ud på Googles udviklerwebsted.
