O Google tem divulgou os detalhes em torno do patch de segurança de 2 de abril para Android, atenuando completamente os problemas descritos em um boletim há várias semanas, bem como uma grande quantidade ou outros problemas críticos e moderados. Este é um pouco diferente dos boletins anteriores, com atenção especial para uma vulnerabilidade de escalonamento de privilégios nas versões 3.4, 3.10 e 3.14 do kernel Linux usado no Android. Discutiremos isso mais adiante na página. Enquanto isso, aqui está o detalhamento do que você precisa saber sobre o patch deste mês.
Imagens de firmware atualizadas agora estão disponíveis para dispositivos Nexus atualmente suportados no Site do Google Developer. O Android Open Source Project tem essas mudanças sendo implementadas nas filiais relevantes agora, e tudo estará completo e sincronizado em 48 horas. As atualizações over the air estão em andamento para telefones e tablets Nexus atualmente compatíveis e seguirão o procedimento de implantação padrão do Google - pode levar uma ou duas semanas para chegar ao seu Nexus. Todos os parceiros - ou seja, as pessoas que criaram seu telefone, independentemente da marca - tiveram acesso a essas correções a partir de 16 de março de 2016, e eles vão anunciar e corrigir dispositivos por conta própria horários.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
O problema mais grave abordado é uma vulnerabilidade que pode permitir a execução remota de código durante o processamento de arquivos de mídia. Esses arquivos podem ser enviados para o seu telefone por qualquer meio - e-mail, MMS de navegação na web ou mensagens instantâneas. Outros problemas críticos corrigidos são específicos do cliente DHCP, Módulo de desempenho da Qualcomm e driver RF. Essas explorações podem permitir a execução de um código que compromete permanentemente o firmware do dispositivo, forçando o usuário final a precisar atualizar o sistema operacional completo - se "plataforma e as mitigações de serviço são desabilitadas para fins de desenvolvimento. "Isso é falar nerd de segurança para permitir que aplicativos de fontes desconhecidas sejam instalados e / ou permitir que OEM desbloqueio.
Outras vulnerabilidades corrigidas também incluem métodos para contornar a proteção de redefinição de fábrica, problemas que podem ser explorado para permitir ataques de negação de serviço e problemas que permitem a execução de código em dispositivos com raiz. Os profissionais de TI também ficarão felizes em ver problemas de correio e ActiveSync que podem permitir o acesso a informações "confidenciais" corrigidas nesta atualização.
Como sempre, o Google também nos lembra que não houve relatos de usuários afetados por esses problemas, e eles têm um procedimento recomendado para ajudar a evitar que dispositivos sejam vítimas destes e do futuro problemas:
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android está monitorando ativamente o abuso com Verify Apps e SafetyNet, que avisará o usuário sobre aplicativos potencialmente perigosos detectados prestes a serem instalados. As ferramentas de rooting do dispositivo são proibidas no Google Play. Para proteger os usuários que instalam aplicativos de fora do Google Play, o Verify Apps é habilitado por padrão e avisará os usuários sobre aplicativos de root conhecidos. O Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover tais aplicativos.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam mídia automaticamente para processos como mediaserver.
Em relação aos assuntos mencionados no boletim anterior
Em 18 de março de 2016, o Google lançou um boletim de segurança suplementar separado sobre problemas no kernel do Linux usado em muitos telefones e tablets Android. Foi demonstrado que um exploit nas versões 3.4, 3.10 e 3.14 do kernel Linux usado no Android permitiu que os dispositivos fossem permanentemente comprometidos - enraizados, em outras palavras - e telefones e outros dispositivos afetados exigiriam uma nova atualização do sistema operacional para serem recuperados. Como um aplicativo foi capaz de demonstrar esse exploit, um boletim do meio do mês foi lançado. O Google também mencionou que os dispositivos Nexus receberiam um patch "dentro de alguns dias". Esse patch nunca se materializou, e o Google não menciona o motivo no último boletim de segurança.
O problema - CVE-2015-1805 - foi corrigido completamente na atualização de segurança de 2 de abril de 2016. Ramificações AOSP para Android versões 4.4.4, 5.0.2, 5.1.1, 6.0 e 6.0.1 receberam este patch, e a implementação para a fonte está em andamento.
O Google também menciona que os dispositivos que podem ter recebido um patch datado de 1º de abril de 2016 não foram corrigidos contra este exploit específico, e apenas dispositivos Android com um nível de patch datado de 2 de abril de 2016 ou posterior são atual.
A atualização enviada para o Verizon Galaxy S6 e Galaxy S6 edge é datada de 2 de abril de 2016 e faz contém essas correções.
A atualização enviada para o T-Mobile Galaxy S7 e Galaxy S7 edge é datado de 2 de abril de 2016 e faz contém essas correções.
A versão AAE298 para telefones BlackBerry Priv desbloqueados é datada de 2 de abril de 2016 e faz contém essas correções. Foi lançado no final de março de 2016.
Os telefones que executam a versão 3.18 do kernel não são afetados por este problema específico, mas ainda exigem os patches para outros problemas abordados no patch de 2 de abril de 2016.
Você já ouviu o podcast central do Android desta semana?
Todas as semanas, o Android Central Podcast traz as últimas notícias de tecnologia, análises e cenas importantes, com co-apresentadores familiares e convidados especiais.
- Inscreva-se no Pocket Casts: Áudio
- Inscreva-se no Spotify: Áudio
- Inscreva-se no iTunes: Áudio
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.