Google har frigivet detaljerne omkring den 2. april sikkerhedsrettelse til Android, der mildner de problemer, der er beskrevet i en bulletin for flere uger siden, samt en dræbte eller andre kritiske og moderate problemer. Denne er en smule forskellig fra tidligere bulletiner, med særlig opmærksomhed på en sårbarhed for optagelse af privilegier i version 3.4, 3.10 og 3.14 af Linux-kernen, der bruges i Android. Vi diskuterer det længere nede på siden. I mellemtiden er her en oversigt over, hvad du har brug for at vide om denne måneds patch.
Opdaterede firmwarebilleder er nu tilgængelige for aktuelt understøttede Nexus-enheder på Google Developer-websted. Android Open Source-projektet har disse ændringer rullet ud til de relevante filialer nu, og alt vil være komplet og synkroniseret inden for 48 timer. Over the air opdateringer er i gang for aktuelt understøttede Nexus-telefoner og -tablets og vil følge den almindelige Google-udrulningsprocedure - det kan tage en uge eller to at komme til din Nexus. Alle partnere - det vil sige de mennesker, der byggede din telefon, uanset brand - har haft adgang til disse rettelser fra 16. marts 2016, og de annoncerer og lapper enheder på deres egen person tidsplaner.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Det mest alvorlige problem, der er løst, er en sårbarhed, der kan muliggøre fjernudførelse af kode ved behandling af mediefiler. Disse filer kan sendes til din telefon på enhver måde - e-mail, browsing MMS eller instant messaging. Andre kritiske problemer, der er patched, er specifikke for DHCP-klienten, Qualcomms Performance Module og RF-driver. Disse udnyttelser kan muliggøre kørsel af kode, der permanent kompromitterer enhedens firmware, hvilket tvinger slutbrugeren til at skulle genblinke det fulde operativsystem - hvis "platform og servicebegrænsninger er deaktiveret, da udviklingsforslag foreslår. "Det er sikkerhedsnerd taler for at tillade, at apps fra ukendte kilder installeres og / eller tillader OEM oplåsning.
Andre opdaterede sårbarheder inkluderer også metoder til at omgå beskyttelse af fabriksnulstilling, problemer der kunne udnyttes til at tillade benægtelse af tjenesteangreb og problemer, der tillader udførelse af kode på enheder med rod. IT-fagfolk vil med glæde også se mail- og ActiveSync-problemer, der kan give adgang til "følsomme" oplysninger, der er patched i denne opdatering.
Som altid minder Google os også om, at der ikke har været rapporter om brugere, der er berørt af disse problemer, og de har en anbefalet procedure til at forhindre, at enheder bliver offer for disse og fremtiden problemer:
- Udnyttelse af mange problemer på Android gøres vanskeligere ved forbedringer i nyere versioner af Android-platformen. Vi opfordrer alle brugere til at opdatere til den nyeste version af Android, hvor det er muligt.
- Android-sikkerhedsteamet overvåger aktivt for misbrug med Verify Apps og SafetyNet, som advarer brugeren om registrerede potentielt skadelige applikationer, der skal installeres. Device rooting-værktøjer er forbudt i Google Play. For at beskytte brugere, der installerer applikationer uden for Google Play, er Verify Apps aktiveret som standard og advarer brugere om kendte root-applikationer. Bekræft apps forsøger at identificere og blokere installationen af kendte ondsindede applikationer, der udnytter en sårbarhed ved optrapning af privilegier. Hvis en sådan applikation allerede er installeret, underretter Verify Apps brugeren og forsøger at fjerne sådanne applikationer.
- Google Hangouts- og Messenger-applikationer videregiver ikke efter behov medier automatisk til processer som f.eks. Mediaserver.
Med hensyn til spørgsmål, der er nævnt i den foregående bulletin
Den 18. marts 2016 udsendte Google en separat supplerende sikkerhedsbulletin om problemer i Linux-kernen, der blev brugt på mange Android-telefoner og tablets. Det blev demonstreret, at en udnyttelse i version 3.4, 3.10 og 3.14 af Linux-kernen anvendt i Android tillod, at enheder permanent kompromitteret - med andre ord rodfæstet - og berørte telefoner og andre enheder ville kræve, at operativsystemet gendannes igen. Da en applikation var i stand til at demonstrere denne udnyttelse, blev der offentliggjort en medie om måneden. Google nævnte også, at Nexus-enheder ville modtage en patch "inden for få dage." Denne patch blev aldrig til noget, og Google nævner ikke hvorfor i den seneste sikkerhedsbulletin.
Problemet - CVE-2015-1805 - er opdateret fuldstændigt i sikkerhedsopdateringen den 2. april 2016. AOSP-filialer til Android version 4.4.4, 5.0.2, 5.1.1, 6.0 og 6.0.1 har modtaget denne patch, og udrulningen til kilden er i gang.
Google nævner også, at enheder, der muligvis har modtaget en patch dateret 1. april 2016, ikke er blevet patched mod denne særlige udnyttelse, og kun Android-enheder med et patch-niveau dateret 2. april 2016 eller senere er nuværende.
Opdateringen sendt til Verizon Galaxy S6 og Galaxy S6 edge er dateret 2. april 2016 og gør indeholder disse rettelser.
Opdateringen sendt til T-Mobile Galaxy S7 og Galaxy S7 edge er dateret 2. april 2016 og gør indeholder disse rettelser.
Build AAE298 til ulåste BlackBerry Priv-telefoner er dateret 2. april 2016 og gør indeholder disse rettelser. Det blev frigivet i slutningen af marts 2016.
Telefoner, der kører en 3.18-kerneversion, berøres ikke af dette særlige problem, men kræver stadig patches til andre problemer, der er behandlet i patch 2. april 2016.
Har du lyttet til denne uges Android Central Podcast?
Hver uge bringer Android Central Podcast dig de seneste tekniske nyheder, analyser og hot take med kendte co-værter og specielle gæster.
- Abonner i Pocket Cast: Lyd
- Abonner i Spotify: Lyd
- Abonner i iTunes: Lyd
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
Dette er de bedste trådløse ørepropper, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Beskyt dit hjem med disse SmartThings dørklokker og låse.
En af de bedste ting ved SmartThings er, at du kan bruge en række andre tredjepartsenheder på dit system, dørklokker og låse inkluderet. Da de alle i det væsentlige deler den samme SmartThings-support, har vi fokuseret på, hvilke enheder der har de bedste specifikationer og tricks til at retfærdiggøre at tilføje dem til dit SmartThings-arsenal.