Google выпустила последнее ежемесячное обновление безопасности Android с полной информацией и доступным новым программным обеспечением. Новая дата уровня исправления безопасности — 1 июня 2016 г., а изменения в Android Open Source Project должны быть завершены и опубликованы в течение 48 часов. Google также сообщает нам, что партнеры имели доступ к предупреждениям в бюллетене за этот месяц со 2 мая или ранее.
Google говорит, что не было сообщений о каких-либо устройствах, активно эксплуатируемых этими уязвимостями.
В этом месяце выпущены исправления для 21 уязвимости в системе безопасности, степень серьезности которых варьируется от критической до умеренной. По данным Google, наиболее серьезной проблемой является «критическая уязвимость системы безопасности, которая делает возможным удаленное выполнение кода на затронутое устройство с помощью нескольких методов, таких как электронная почта, просмотр веб-страниц и MMS при обработке медиафайлов». Библиотека Stagefright по-прежнему привлекает внимание исследователей безопасности, а также команды безопасности Google, что делает
отделение медиа-сервера от уровня ОС а обновление отдельно в Android N еще важнее.Google также подчеркивает (как и каждый месяц), что не было никаких сообщений о каких-либо устройствах, активно эксплуатируемых этими уязвимостей, а средства защиты на уровне платформы и службы, такие как SafetyNet, создают риск того, что на самом деле затронуты довольно низко.
Краткое резюме:
- Эксплуатация многих проблем на Android усложняется улучшениями в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда Android Security активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые предназначены для предупреждения пользователей о потенциально опасных приложениях. Проверка приложений включена по умолчанию на устройствах с Google Mobile Services и особенно важна для пользователей, которые устанавливают приложения не из Google Play. Инструменты для рутирования устройств запрещены в Google Play, но Verify Apps предупреждает пользователей, когда они пытаются установить обнаруженное приложение для рутирования, независимо от того, откуда оно взято. Кроме того, Verify Apps пытается выявить и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить обнаруженное приложение.
- При необходимости приложения Google Hangouts и Messenger не передают мультимедиа автоматически таким процессам, как медиасервер.
Полную информацию по всем вопросам можно найти по адресу сайт бюллетеней безопасности.
О том, когда ожидать патч для любого другого устройства на базе Android, пока не сообщается. Нексус устройства, Android Один Телефоны и Pixel C имеют обновление, распространяемое по беспроводной сети, начиная с сегодняшнего дня, и оно должно быть развернуто на всех устройствах в свое время. Если вы нетерпеливы (и если да, то почему вы не используете бета-версию Android N?), вы можете прошить заводские образы, размещенные на Сайт разработчиков Google.