Google има пусна детайлите около кръпката за сигурност на Android от 2 април, напълно смекчаваща проблемите, описани в бюлетина преди няколко седмици, както и множество или други критични и умерени проблеми. Това е малко по-различно от предишните бюлетини, като е обърнато специално внимание на уязвимостта на ескалацията на привилегии във версии 3.4, 3.10 и 3.14 на ядрото на Linux, използвано в Android. Ще обсъдим това по-надолу на страницата. Междувременно ето разбивка на това, което трябва да знаете за кръпката за този месец.
Актуализираните изображения на фърмуера вече са налични за поддържаните в момента устройства Nexus на Сайт за разработчици на Google. Проектът за Android с отворен код предлага тези промени да се разпространяват към съответните клонове сега и всичко ще бъде завършено и синхронизирано в рамките на 48 часа. Извършват се актуализации по ефир за поддържаните понастоящем телефони и таблети Nexus и ще следват стандартната процедура за разпространение на Google - може да отнеме седмица или две, за да стигнете до вашия Nexus. Всички партньори - това означава, че хората, създали телефона ви, независимо от марката - са имали достъп тези корекции от 16 март 2016 г. и те ще оповестяват и коригират устройства сами графици.
Verizon предлага Pixel 4a само за $ 10 / месец на нови неограничени линии
Най-сериозният разгледан проблем е уязвимост, която може да позволи дистанционно изпълнение на код при обработка на медийни файлове. Тези файлове могат да бъдат изпратени до телефона ви по всякакъв начин - имейл, MMS сърфиране в мрежата или незабавни съобщения. Други критични проблеми, закърпени, са специфични за DHCP клиента, модула за ефективност на Qualcomm и RF драйвера. Тези експлойти могат да позволят стартиране на код, който трайно компрометира фърмуера на устройството, принуждавайки крайния потребител да се наложи да мига отново на пълната операционна система - ако "платформата и смекчаването на услугите е деактивирано при предложенията за разработка. отключване.
Други закърпени уязвимости също включват методи за заобикаляне на Factory Reset Protection, проблеми, които биха могли да бъдат използвани, за да позволят атаки за отказ на услуга и проблеми, които позволяват изпълнение на код на устройства с корен. ИТ специалистите ще се радват да видят и проблеми с пощата и ActiveSync, които могат да позволят достъп до „чувствителна“ информация, закърпена в тази актуализация.
Както винаги, Google също ни напомня, че няма съобщения за потребители, засегнати от тези проблеми, и те имат препоръчана процедура, която помага да се предотврати изпадането на жертвите на устройствата в бъдеще въпроси:
- Експлоатацията за много проблеми на Android е по-трудна поради подобрения в по-новите версии на платформата Android. Препоръчваме на всички потребители да актуализират до най-новата версия на Android, където е възможно.
- Екипът на Android Security активно следи за злоупотреба с Verify Apps и SafetyNet, които ще предупреждават потребителя за открити потенциално вредни приложения, които ще бъдат инсталирани. Инструментите за вкореняване на устройства са забранени в Google Play. За да защити потребителите, които инсталират приложения извън Google Play, Потвърждаване на приложения е активирано по подразбиране и ще предупреди потребителите за известни приложения за вкореняване. Проверката на приложенията се опитва да идентифицира и блокира инсталирането на известни злонамерени приложения, които използват уязвимост за повишаване на привилегиите. Ако такова приложение вече е инсталирано, Verify Apps ще уведоми потребителя и ще се опита да премахне такива приложения.
- Както е подходящо, приложенията Google Hangouts и Messenger не предават автоматично мултимедия на процеси като медиа сървър.
По отношение на въпросите, споменати в предишния бюлетин
На 18 март 2016 г. Google издаде отделен допълнителен бюлетин за сигурността относно проблемите в ядрото на Linux, използвано на много телефони и таблети с Android. Беше демонстрирано, че експлойт във версии 3.4, 3.10 и 3.14 на ядрото на Linux, използвано в Android, позволява на устройствата да бъдат постоянно компрометирани - вкоренени, с други думи - и засегнатите телефони и други устройства ще изискват повторна светкавица на операционната система за възстановяване. Тъй като приложението успя да демонстрира този експлойт, беше пуснат бюлетин в средата на месеца. Google също спомена, че устройствата Nexus ще получат корекция „в рамките на няколко дни“. Този пластир никога не се материализира и Google не споменава защо в последния бюлетин за сигурността.
Изданието - CVE-2015-1805 - е изправено изцяло в актуализацията на защитата от 2 април 2016 г. Клоновете на AOSP за Android версии 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1 са получили тази корекция, а разпространението към източника е в ход.
Google също така споменава, че устройства, които може да са получили корекция от 1 април 2016 г., не са били коригирани срещу този конкретен експлойт и са само устройства с Android с ниво на корекция от 2 април 2016 г. или по-нова версия текущ.
Актуализацията, изпратена до Verizon Galaxy S6 и Galaxy S6 edge, е от 2 април 2016 г. и прави съдържат тези корекции.
Актуализацията е изпратена до T-Mobile Galaxy S7 и Galaxy S7 edge е от 2 април 2016 г. и прави съдържат тези корекции.
Компилация AAE298 за отключени телефони BlackBerry Priv е от 2 април 2016 г. и прави съдържат тези корекции. Издаден е в края на март 2016 г.
Телефоните, работещи с версия на ядрото 3.18, не са засегнати от този конкретен проблем, но все пак изискват корекции за други проблеми, разгледани в корекцията от 2 април 2016 г.
Слушали ли сте Android Central Podcast тази седмица?
Всяка седмица Android Central Podcast ви предоставя най-новите технологични новини, анализи и актуални снимки, с познати съ-домакини и специални гости.
- Абонирайте се за Pocket Casts: Аудио
- Абонирайте се в Spotify: Аудио
- Абонирайте се в iTunes: Аудио
Можем да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Защитете дома си с тези звънци и брави SmartThings.
Едно от най-добрите неща за SmartThings е, че можете да използвате множество други устройства на трети страни на вашата система, включени звънци и брави. Тъй като всички те по същество споделят една и съща поддръжка на SmartThings, ние се фокусирахме върху това кои устройства имат най-добрите спецификации и трикове, за да оправдаят добавянето им към вашия арсенал SmartThings.