Velkommen tilbage til en anden spændende episode af Googles månedlige sikkerhedsopdatering. Februar er ankommet, og det betyder, at det er på tide, at Google skitserer alle de programrettelser, der laves til Android, og påpeger, hvem der har lavet disse programrettelser.
For de uinitierede accepterer Google (og Android Open Source Project) bidrag fra eksterne kilder såvel som holdene i Google. Hver måned sendes disse bidrag til Googles partnere, så de kan opdatere deres egne enheder, og omtrent en måned senere skubbes disse opdateringer til Nexus-linjen. Nogle partnere er virkelig gode til at opdatere deres produkter, men denne månedlige cyklus er stadig en udfordring for mange virksomheder, der bruger Android på deres produkter.
Her er hvad der løses i denne måned.
De spørgsmål, der er markeret som kritiske af Googles interne team denne måned, handler om eskalering af privilegier og ekstern kodeudførelse. Opdateringen i februar behandler problemer med fjernkoder i en Broadcom Wifi-driver samt Mediaserver, mens de håndterer eskaleringsproblemer i Qualcomms performance-modul, Wifi-driver og debugger-dæmon. Der er også eskaleringssårbarheder, der adresseres i de generelle Android Wifi- og Mediaserver-systemer, men disse problemer blev markeret som Høj i stedet for Kritisk på Googles liste over sværhedsgrader. En opdatering til Minikin-biblioteket adresserede også en mulig sårbarhed i Denial of Service.
Som altid hævder Google, at der ikke er rapporter om aktiv kundeudnyttelse ved hjælp af de problemer, der er rapporteret og rettet i denne opdatering.
To CVE-markører mærket Moderat af Google peger på en måde at omgå fabriksindstillingsbeskyttelsen i Android-installationsguiden, og disse problemer er blevet rettet. Selvom Google har markeret dette problem Moderat, er det vigtigt at forstå, hvad dette problem betyder for brugerne. Der eksisterede en sårbarhed, der gjorde det muligt for nogen, der vidste, hvordan man kan omgå sikkerhedsforanstaltningen, der forhindrer nogen i at få adgang til din telefon blot ved at udføre en nulstilling af fabrikken. Som ofte er tilfældet, hævder Google, at der ikke er rapporter om aktiv kundeudnyttelse ved hjælp af de problemer, der er rapporteret og rettet i denne opdatering.
Nexus-brugere, der ønsker at blinke denne opdatering lige nu, kan gå til Google Developer-webstedet og få fat i den nyeste udgivelse til at blinke. En OTA-opdatering med denne programrettelse vil være tilgængelig for Nexus-telefoner og -tablets i den nærmeste fremtid, skønt BlackBerry Priv-ejere muligvis har bemærket, at denne OTA-opdatering var tilgængelig i morges og kan installeres nu. Vi ses næste måned!
