Google имеет опубликовал детали вокруг исправления безопасности для Android от 2 апреля, полностью устраняющего проблемы, описанные в бюллетене несколько недель назад, а также множество других критических и умеренных проблем. Этот бюллетень немного отличается от предыдущих бюллетеней, с особым вниманием к уязвимости повышения привилегий в версиях 3.4, 3.10 и 3.14 ядра Linux, используемого в Android. Мы обсудим это далее на странице. А пока вот разбивка того, что вам нужно знать о патче этого месяца.
Обновленные образы прошивки теперь доступны для поддерживаемых в настоящее время устройств Nexus на Сайт разработчика Google. В проекте Android с открытым исходным кодом эти изменения распространяются на соответствующие ветки, и все будет завершено и синхронизировано в течение 48 часов. Выполняются беспроводные обновления для телефонов и планшетов Nexus, поддерживаемых в настоящее время, и они будут следовать стандартной процедуре развертывания Google - доставка на Nexus может занять неделю или две. Все партнеры, то есть люди, создавшие ваш телефон, независимо от бренда, имели доступ к эти исправления по состоянию на 16 марта 2016 года, и они объявят и исправят устройства самостоятельно расписания.
Verizon предлагает Pixel 4a всего за 10 долларов в месяц на новых безлимитных линиях
Наиболее серьезной проблемой является уязвимость, которая делает возможным удаленное выполнение кода при обработке файлов мультимедиа. Эти файлы могут быть отправлены на ваш телефон любыми способами - по электронной почте, с помощью MMS или мгновенных сообщений. Исправлены другие критические проблемы, связанные с DHCP-клиентом, модулем производительности Qualcomm и радиочастотным драйвером. Эти эксплойты могут позволить запустить код, который навсегда скомпрометирует прошивку устройства, вынудив конечного пользователя перепрограммировать полную операционную систему - если "платформа а меры по снижению рисков отключены для предложений разработчиков ". Это высказывание ботаников по безопасности для разрешения установки приложений из неизвестных источников и / или разрешения OEM разблокировка.
Другие исправленные уязвимости также включают методы обхода защиты от сброса к заводским настройкам, проблемы, которые могут могут быть использованы для разрешения атак типа "отказ в обслуживании" и проблем, которые позволяют выполнять код на устройствах с корень. ИТ-специалисты будут рады также увидеть проблемы с почтой и ActiveSync, которые могут позволить доступ к «конфиденциальной» информации, исправленной в этом обновлении.
Как всегда, Google также напоминает нам, что не было сообщений о пользователях, затронутых этими проблемами, и у них есть рекомендованная процедура, чтобы помочь предотвратить попадание устройств в жертву этим и будущим вопросы:
- Использование многих проблем на Android осложняется улучшениями в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые будут предупреждать пользователя об обнаруженных потенциально вредоносных приложениях, которые будут установлены. Инструменты для рутинга устройств запрещены в Google Play. Чтобы защитить пользователей, которые устанавливают приложения из-за пределов Google Play, функция «Проверка приложений» включена по умолчанию и будет предупреждать пользователей об известных приложениях для рутирования. Verify Apps пытается выявить и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить любые такие приложения.
- Соответственно, приложения Google Hangouts и Messenger не передают автоматически мультимедиа в такие процессы, как mediaserver.
По вопросам, упомянутым в предыдущем бюллетене
18 марта 2016 г. Google выпустил отдельный дополнительный бюллетень по безопасности, посвященный проблемам в ядре Linux, используемом на многих телефонах и планшетах Android. Было продемонстрировано, что эксплойт в версиях 3.4, 3.10 и 3.14 ядра Linux, используемого в Android, позволяет устройствам постоянно скомпрометирован - другими словами, рутирован - и затронутые телефоны и другие устройства потребуют повторной прошивки операционной системы для восстановления. Поскольку приложение могло продемонстрировать этот эксплойт, в середине месяца был выпущен бюллетень. Google также упомянул, что устройства Nexus получат исправление «в течение нескольких дней». Этот патч так и не появился, и Google не упоминает почему в последнем бюллетене по безопасности.
Проблема - CVE-2015-1805 - была полностью устранена в обновлении безопасности от 2 апреля 2016 г. Ветви AOSP для версий Android 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1 получили этот патч, и в настоящее время выполняется развертывание исходного кода.
Google также упоминает, что устройства, которые могли получить исправление от 1 апреля 2016 г., не были исправлены. против этого конкретного эксплойта, и только устройства Android с уровнем исправления от 2 апреля 2016 г. или позже текущий.
Обновление, отправленное для Verizon Galaxy S6 и Galaxy S6 edge, датировано 2 апреля 2016 года и делает содержат эти исправления.
Обновление отправлено в T-Mobile Galaxy S7 и Galaxy S7 edge датирован 2 апреля 2016 г. и делает содержат эти исправления.
Сборка AAE298 для разблокированных телефонов BlackBerry Priv датирована 2 апреля 2016 г. и делает содержат эти исправления. Он был выпущен в конце марта 2016 года.
Телефоны с версией ядра 3.18 не подвержены этой конкретной проблеме, но по-прежнему требуют исправлений для других проблем, устраненных в исправлении от 2 апреля 2016 г.
Вы слушали подкаст Android Central на этой неделе?
Каждую неделю Android Central Podcast знакомит вас с последними техническими новостями, аналитикой и горячими комментариями с участием знакомых соведущих и специальных гостей.
- Подпишитесь в Pocket Casts: Аудио
- Подпишитесь в Spotify: Аудио
- Подпишитесь в iTunes: Аудио
Мы можем получать комиссию за покупки, используя наши ссылки. Учить больше.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Защитите свой дом с помощью дверных звонков и замков SmartThings.
Одна из лучших особенностей SmartThings заключается в том, что вы можете использовать множество других сторонних устройств в своей системе, включая дверные звонки и замки. Поскольку все они, по сути, имеют одинаковую поддержку SmartThings, мы сосредоточились на том, какие устройства имеют лучшие характеристики и приемы, чтобы оправдать добавление их в ваш арсенал SmartThings.