Ежемесячная система обновлений Google продолжает предлагать важные исправления для уязвимостей, о которых многие люди даже не подозревают, когда-либо существовавших в Android. мартовский список включает 19 проблем по всей ОС. Эти обновления оцениваются как «умеренные», «высокие» или «критические» по степени серьезности, и вместе с обновлением, выпущенным для решения этих проблем, содержится подробное объяснение того, что исправляется. Как это часто бывает с этими ежемесячными обновлениями, вклады поступают со всего мира, а также от внутренних команд безопасности Google, чтобы гарантировать, что Android всегда становится лучше.
Вот что вам нужно знать об исправлениях, доступных на уровне безопасности 1 марта 2016 г., а также о том, когда ваш телефон или планшет получит обновление.
Мартовское обновление для Android устраняет шесть критических проблем, восемь серьезных проблем и две умеренных проблемы. К ним относятся уязвимости, связанные с повышением привилегий, уязвимостями удаленного выполнения кода, уязвимостями удаленного отказа в обслуживании и обходными уязвимостями во всей ОС. Наиболее значительной из этих проблем, по мнению Google, были уязвимости удаленного выполнения кода, обнаруженные в Mediaserver и libvpx. Эти проблемы могли позволить третьей стороне использовать мультимедиа MMS или мультимедиа для воспроизведения в браузере для выполнения кода на ваш телефон или планшет с помощью специально созданного файла, который вел себя злонамеренно, а не просто играл СМИ. Google выпустил исправления вплоть до Android 4.4.4 для решения этих проблем.
Как это часто бывает с этими обновлениями, Google утверждает, что доказательств активных атак с использованием этих уязвимостей не существует.
В этом обновлении, а также в Mediaserver и Keyring были устранены уязвимости повышения привилегий в драйверах MediaTek и компонентах производительности Qualcomm. В случае эксплуатации эти уязвимости могли бы сделать возможным доступ к большему, чем разрешено приложению. То же самое касается уязвимостей раскрытия информации в телефонии, libstagefright, WideVine и ядре Android, только вместо доступ к большему количеству системных функций, у вредоносного приложения мог быть доступ к большему количеству вашей информации, чем вы дали разрешение доступ.
Как это часто бывает с этими обновлениями, Google утверждает, что доказательств активных атак с использованием этих уязвимостей не существует. Образы для телефонов и планшетов Nexus, содержащие это мартовское обновление, теперь доступны на сайт разработчиков Google, а обновления по беспроводной сети ожидаются в течение недели. Google предоставил эти обновления всем своим партнерам Android не менее 30 дней назад, а компании, обязавшиеся предоставлять обновления безопасности, как можно быстрее — как BlackBerry, которая уже выпускает мартовское обновление для Priv — будет подробно рассказывать о своих планах обновления, как только они может.