O Google lançou a última atualização mensal de segurança do Android, com todos os detalhes e o novo software disponível. A nova data do nível de patch de segurança é 1º de junho de 2016 e as alterações no Android Open Source Project devem ser concluídas e publicadas em 48 horas. O Google também nos informa que os parceiros tiveram acesso aos avisos do boletim deste mês desde 2 de maio ou antes.
O Google diz que não houve nenhum relatório de dispositivos explorados ativamente por essas vulnerabilidades.
Este mês traz patches para 21 vulnerabilidades de segurança, variando em gravidade de crítica a moderada. De acordo com o Google, o problema mais grave é "uma vulnerabilidade de segurança crítica que pode permitir a execução remota de código em um dispositivo afetado através de vários métodos, como e-mail, navegação na web e MMS ao processar arquivos de mídia." Parece que o Biblioteca Stagefright continua a ser um foco popular para pesquisadores de segurança, bem como para a equipe de segurança do Google, o que torna
dividindo o servidor de mídia da camada do sistema operacional e atualizar separadamente no Android N ainda mais importante.O Google também enfatiza (como faz todos os meses) que não houve nenhum relatório de nenhum dispositivo ativamente explorado por esses vulnerabilidades e que as proteções de segurança no nível da plataforma e as proteções de serviço, como SafetyNet, correm o risco de realmente serem afetado bastante baixo.
Um resumo rápido:
- A exploração de muitos problemas no Android é dificultada por aprimoramentos em versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso com o Verify Apps e SafetyNet, que são projetados para alertar os usuários sobre aplicativos potencialmente nocivos. Verifique se os aplicativos estão ativados por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play. As ferramentas de root do dispositivo são proibidas no Google Play, mas o Verify Apps avisa os usuários quando eles tentam instalar um aplicativo de root detectado, não importa de onde ele venha. Além disso, o Verify Apps tenta identificar e bloquear a instalação de aplicativos mal-intencionados conhecidos que exploram uma vulnerabilidade de escalonamento de privilégios. Se tal aplicativo já tiver sido instalado, o Verify Apps notificará o usuário e tentará remover o aplicativo detectado.
- Conforme apropriado, os aplicativos Google Hangouts e Messenger não passam automaticamente a mídia para processos como mediaserver.
Detalhes completos de todos os problemas abordados podem ser encontrados em o site do boletim de segurança.
Não há nenhuma palavra sobre quando esperar o patch para qualquer outro dispositivo com Android, mas o atual Nexo dispositivos, Android One os telefones e o Pixel C têm uma atualização lançada pelo ar a partir de hoje e deve ser lançada em todos os dispositivos no devido tempo. Se você é do tipo impaciente (e se for, por que não está executando o Android N Beta?) pode exibir as imagens de fábrica publicadas em Site do desenvolvedor do Google.