Raksts

Android 2. aprīļa drošības ielāps ir pieejams

protection click fraud
Nexus 5x

Google ir izlaida detaļas 2. aprīļa Android drošības ielāpa apņemšana, pilnībā mazinot pirms vairākām nedēļām biļetenā aprakstītos jautājumus, kā arī daudzus citus kritiskus un mērenus jautājumus. Šis nedaudz atšķiras no iepriekšējiem biļeteniem, īpašu uzmanību pievēršot privilēģiju eskalācijas ievainojamībai operētājsistēmā Android izmantotajā Linux kodola 3.4, 3.10 un 3.14 versijās. Mēs to apspriedīsim tālāk lapā. Tikmēr šeit ir sniegts sīkāks apraksts par to, kas jums jāzina par šī mēneša plāksteri.

Atjaunināti programmaparatūras attēli tagad ir pieejami pašreiz atbalstītajām Nexus ierīcēm Google izstrādātāja vietne. Android atvērtā pirmkoda projektā šīs izmaiņas tiek ieviestas attiecīgajās filiālēs tagad, un viss tiks pabeigts un sinhronizēts 48 stundu laikā. Pašlaik tiek atbalstīti nexus atjauninājumi pašlaik atbalstītajiem Nexus tālruņiem un planšetdatoriem, un tie notiks saskaņā ar Google standarta ieviešanas procedūru - var paiet nedēļa vai divas, lai nokļūtu līdz jūsu Nexus. Visiem partneriem - tas nozīmē, ka cilvēkiem, kuri izveidoja jūsu tālruni, neatkarīgi no zīmola, ir piekļuve šie labojumi no 2016. gada 16. marta, un viņi paziņos un ielāpīs ierīces saviem indivīdiem grafikus.

Verizon piedāvā Pixel 4a tikai par 10 USD mēnesī jaunās Neierobežotās līnijās

Vissmagākā risinātā problēma ir ievainojamība, kas varētu atļaut attālu koda izpildi, apstrādājot multivides failus. Šos failus uz tālruni var nosūtīt jebkurā veidā - e-pastā, tīmekļa pārlūkošanas multiziņā vai tūlītējā ziņojumapmaiņā. Citas izlabotās kritiskās problēmas ir raksturīgas DHCP klientam, Qualcomm veiktspējas modulim un RF draiverim. Šie izmantojumi varētu ļaut darboties kodam, kas neatgriezeniski apdraud ierīces programmaparatūru, liekot gala lietotājam atkārtoti mirgot pilnā operētājsistēmā - ja platforma Izstrādes priekšlikumos ir atspējoti pakalpojumu un pakalpojumu mazināšanas gadījumi. "Tas ir drošsirdīgs, lai atļautu instalēt lietotnes no nezināmiem avotiem un / vai ļautu OEM atbloķēšana.

Citas labotās ievainojamības ietver arī metodes, kā apiet rūpnīcas atiestatīšanas aizsardzību, problēmas, kuras varētu rasties jāizmanto, lai atļautu pakalpojumu noliegšanas uzbrukumus un problēmas, kas ļauj kodu izpildīt ierīcēs ar sakne. IT profesionāļi labprāt redzēs arī pasta un ActiveSync problēmas, kas varētu ļaut piekļūt "atjaunotajai" informācijai, kas ir ielāpīta šajā atjauninājumā.

Kā vienmēr, Google mums arī atgādina, ka nav ziņu par lietotājiem, kurus šīs problēmas skartu, un viņiem ir ieteicama procedūra, lai palīdzētu ierīcēm nekļūt par šo un nākotnes upuriem jautājumi:

  • Daudzu problēmu risināšanu Android ierīcēs apgrūtina uzlabojumi jaunākajās Android platformas versijās. Mēs iesakām visiem lietotājiem pēc iespējas atjaunināt jaunāko Android versiju.
  • Android drošības komanda aktīvi uzrauga ļaunprātīgu izmantošanu, izmantojot Verify Apps un SafetyNet, kas brīdinās lietotāju par atklātajām potenciāli kaitīgajām lietojumprogrammām. Ierīču sakņu rīki pakalpojumā Google Play ir aizliegti. Lai aizsargātu lietotājus, kuri instalē lietojumprogrammas ārpus vietnes Google Play, lietotne Verify Apps ir iespējota pēc noklusējuma un brīdinās lietotājus par zināmām sakņu lietojumprogrammām. Pārbaudiet, vai Apps mēģina identificēt un bloķēt zināmu ļaunprātīgu lietojumprogrammu instalēšanu, kas izmanto privilēģiju eskalācijas ievainojamību. Ja šāda lietojumprogramma jau ir instalēta, Verify Apps paziņos lietotājam un mēģinās noņemt visas šādas lietojumprogrammas.
  • Vajadzības gadījumā Google Hangouts un Messenger lietojumprogrammas automātiski nenodod multivides tādiem procesiem kā mediaserver.

Attiecībā uz jautājumiem, kas minēti iepriekšējā biļetenā

Nexus atjauninājums

2016. gada 18. martā Google izdeva atsevišķu papildu drošības biļetenu par problēmām Linux kodolā, ko izmanto daudzos Android tālruņos un planšetdatoros. Tika pierādīts, ka operētājsistēmā Android izmantotā Linux kodola 3.4, 3.10 un 3.14 versiju izmantošana ļāva ierīcēm pastāvīgi darboties apdraudētiem - sakņotiem, citiem vārdiem sakot - un ietekmētajiem tālruņiem un citām ierīcēm būtu nepieciešama operētājsistēmas atkārtota zibspuldze, lai atjaunotos. Tā kā lietojumprogramma spēja parādīt šo izmantojumu, tika izlaists mēneša vidus biļetens. Google arī minēja, ka Nexus ierīces saņems plāksteri "dažu dienu laikā". Šis plāksteris nekad netika īstenots, un Google jaunākajā drošības biļetenā nemin iemeslu.

Problēma - CVE-2015-1805 - ir pilnībā izlabota 2016. gada 2. aprīļa drošības atjauninājumā. AOSP filiāles Android versijām 4.4.4, 5.0.2, 5.1.1, 6.0 un 6.0.1 ir saņēmušas šo plāksteri, un izlaišana uz avotu notiek.

Google arī min, ka ierīces, kuras, iespējams, ir saņēmušas 2016. gada 1. aprīļa labojumu, nav salāpītas pret šo konkrēto izmantošanu, un ir paredzētas tikai Android ierīces ar ielāpu līmeni, kas datēts ar 2016. gada 2. aprīli vai vēlāk strāva.

Verizon Galaxy S6 un Galaxy S6 edge nosūtītais atjauninājums ir datēts ar 2016. gada 2. aprīli dara satur šos labojumus.

Atjauninājums nosūtīts uz T-Mobile Galaxy S7 un Galaxy S7 edge ir datēts ar 2016. gada 2. aprīli un dara satur šos labojumus.

Atbloķēto BlackBerry Priv tālruņu veidotāja AAE298 datējums ir 2016. gada 2. aprīlis un dara satur šos labojumus. Tas tika izlaists 2016. gada marta beigās.

Tālruņus, kuros darbojas 3.18 kodola versija, šī konkrētā problēma neietekmē, taču tiem joprojām ir nepieciešami plāksteri citiem jautājumiem, kas tiek risināti 2016. gada 2. aprīļa ielāpa.

Vai esat klausījies šīs nedēļas Android Central Podcast?

Android Central

Katru nedēļu Android Central Podcast sniedz jums jaunākos tehnoloģiju jaunumus, analīzi un jaunākās ziņas ar pazīstamiem līdzzinātājiem un īpašajiem viesiem.

  • Abonējiet Pocket Casts: Audio
  • Abonēt Spotify: Audio
  • Abonējiet iTunes: Audio

Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.

Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Ir pienācis laiks sagriezt vadu!

Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!

Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.

Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk
Nākošā paaudze

Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.

Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.

Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD
Jaunas Nokias

Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.

Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.

Nodrošiniet savu māju ar šiem SmartThings durvju zvaniem un slēdzenēm
Ding Dong - durvis ir aizslēgtas

Nodrošiniet savu māju ar šiem SmartThings durvju zvaniem un slēdzenēm.

Viena no labākajām lietām SmartThings ir tā, ka savā sistēmā varat izmantot virkni citu trešo pušu ierīču, iekļaujot durvju zvani un slēdzenes. Tā kā tām visām būtībā ir vienāds SmartThings atbalsts, mēs esam koncentrējušies uz to, kurām ierīcēm ir vislabākās specifikācijas un triki, lai attaisnotu to pievienošanu jūsu SmartThings arsenālam.

instagram story viewer