Google пусна най-новата месечна актуализация за сигурност на Android с пълни подробности и наличен нов софтуер. Новата дата за ниво на корекция за сигурност е 1 юни 2016 г. и промените в проекта с отворен код на Android трябва да бъдат завършени и публикувани в рамките на 48 часа. Google също ни казва, че партньорите са имали достъп до предупрежденията в бюлетина за този месец от 2 май или по-рано.
Google казва, че няма доклади за устройства, активно експлоатирани от тези уязвимости.
Този месец предлага корекции за 21 уязвимости в сигурността, вариращи по тежест от критични до умерени. Според Google най-сериозният проблем е „критична уязвимост на сигурността, която може да позволи отдалечено изпълнение на код на засегнато устройство чрез множество методи като имейл, сърфиране в мрежата и MMS при обработка на медийни файлове." Изглежда, че Библиотека Stagefright продължава да бъде популярен фокус за изследователите по сигурността, както и за екипа по сигурността на Google, което прави отделяне на медийния сървър от OS слоя и отделно актуализиране в Android N още по-важно.
Google също подчертава (както прави всеки месец), че няма доклади за устройства, активно използвани от тези уязвимости и че защитите за сигурност на ниво платформа и защити на услуги като SafetyNet рискуват действително да бъдат засегнати доста ниско.
Кратко резюме:
- Експлоатацията за много проблеми на Android се затруднява от подобренията в по-новите версии на платформата Android. Насърчаваме всички потребители да актуализират до най-новата версия на Android, където е възможно.
- Екипът по сигурността на Android активно следи за злоупотреби с Verify Apps и SafetyNet, които са предназначени да предупреждават потребителите за потенциално опасни приложения. Проверката на приложения е активирана по подразбиране на устройства с мобилни услуги на Google и е особено важна за потребители, които инсталират приложения извън Google Play. Инструментите за руутване на устройства са забранени в Google Play, но Verify Apps предупреждава потребителите, когато се опитват да инсталират открито руутване – независимо откъде идва. Освен това Verify Apps се опитва да идентифицира и блокира инсталирането на известни злонамерени приложения, които използват уязвимост при ескалиране на привилегии. Ако такова приложение вече е инсталирано, Verify Apps ще уведоми потребителя и ще се опита да премахне откритото приложение.
- При необходимост приложенията Google Hangouts и Messenger не предават автоматично мултимедия към процеси като mediaserver.
Пълни подробности за адресите на всички проблеми можете да намерите на сайтът за бюлетин за сигурност.
Няма информация кога да очакваме корекцията за всяко друго устройство с Android, но текущо Nexus устройства, Android One телефони и Pixel C имат актуализация, която се предлага по въздуха от днес и трябва да бъде разпространена на всички устройства своевременно. Ако сте от нетърпеливите (и ако е така, защо не използвате Android N Beta?), можете да флашнете фабричните изображения, публикувани на Сайтът за разработчици на Google.