Google ha lanzado la última actualización mensual de seguridad de Android, con todos los detalles y nuevo software disponible. La fecha del nuevo nivel de parche de seguridad es el 1 de junio de 2016 y los cambios en el proyecto de código abierto de Android deben finalizarse y publicarse en un plazo de 48 horas. Google también nos dice que los socios han tenido acceso a las advertencias en el boletín de este mes desde el 2 de mayo o antes.
Google dice que no ha habido informes de dispositivos explotados activamente por estas vulnerabilidades.
Este mes trae parches para 21 vulnerabilidades de seguridad, cuya gravedad varía de crítica a moderada. Según Google, el problema más grave es "una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia". Parece que el Biblioteca de miedo escénico sigue siendo un enfoque popular para los investigadores de seguridad, así como para el equipo de seguridad de Google, lo que hace
dividir el servidor de medios fuera de la capa del sistema operativo y la actualización por separado en Android N es aún más importante.Google también enfatiza (como lo hace todos los meses) que no ha habido informes de ningún dispositivo explotado activamente por estos vulnerabilidades, y que las protecciones de seguridad a nivel de plataforma y las protecciones de servicio como SafetyNet hacen que el riesgo de ser realmente afectado bastante bajo.
Un resumen rápido:
- La explotación de muchos problemas en Android se hace más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible.
- El equipo de seguridad de Android monitorea activamente el abuso con Verify Apps y SafetyNet, que están diseñados para advertir a los usuarios sobre aplicaciones potencialmente dañinas. Verificar aplicaciones está habilitado de forma predeterminada en dispositivos con Google Mobile Services y es especialmente importante para los usuarios que instalan aplicaciones desde fuera de Google Play. Las herramientas de enraizamiento de dispositivos están prohibidas en Google Play, pero Verify Apps advierte a los usuarios cuando intentan instalar una aplicación de enraizamiento detectada, sin importar de dónde provenga. Además, Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si ya se instaló una aplicación de este tipo, Verify Apps notificará al usuario e intentará eliminar la aplicación detectada.
- Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.
Los detalles completos de la dirección de todos los problemas se pueden encontrar en el sitio del boletín de seguridad.
No hay información sobre cuándo esperar el parche para cualquier otro dispositivo con Android, pero Nexo dispositivos, androide uno Los teléfonos y el Pixel C tienen una actualización inalámbrica a partir de hoy, y debería implementarse en todos los dispositivos a su debido tiempo. Si eres del tipo impaciente (y si es así, ¿por qué no estás ejecutando Android N Beta?) puedes mostrar las imágenes de fábrica publicadas en Sitio para desarrolladores de Google.