Google har släppt den senaste månatliga säkerhetsuppdateringen för Android, med fullständig information och ny programvara tillgänglig. Datumet för den nya säkerhetskorrigeringsnivån är 1 juni 2016, och ändringar av Android Open Source Project bör vara klara och publicerade inom 48 timmar. Google berättar också att partners har haft tillgång till varningarna i denna månads bulletin sedan 2 maj eller tidigare.
Google säger att det inte har förekommit några rapporter om några enheter som aktivt utnyttjats av dessa sårbarheter.
Den här månaden kommer patchar för 21 säkerhetssårbarheter, som sträcker sig i svårighetsgrad från kritiska till måttliga. Enligt Google är det allvarligaste problemet "en kritisk säkerhetsrisk som skulle kunna möjliggöra fjärrkörning av kod på en påverkad enhet genom flera metoder som e-post, webbsurfning och MMS vid bearbetning av mediefiler." Det verkar som att Stagefright bibliotek fortsätter att vara ett populärt fokus för säkerhetsforskare såväl som Googles säkerhetsteam, vilket gör
dela upp mediaservern från OS-lagret och att uppdatera separat i Android N ännu viktigare.Google betonar också (som det gör varje månad) att det inte har förekommit några rapporter om några enheter som aktivt utnyttjas av dessa sårbarheter, och att säkerhetsskydd på plattformsnivå och tjänsteskydd som SafetyNet riskerar att faktiskt vara det påverkas ganska lågt.
En snabb sammanfattning:
- Utnyttjandet av många problem på Android försvåras av förbättringar i nyare versioner av Android-plattformen. Vi uppmuntrar alla användare att uppdatera till den senaste versionen av Android där det är möjligt.
- Android Security-teamet övervakar aktivt efter missbruk med Verify Apps och SafetyNet, som är utformade för att varna användare om potentiellt skadliga applikationer. Verifiera appar är aktiverat som standard på enheter med Google Mobile Services, och är särskilt viktigt för användare som installerar appar utanför Google Play. Verktyg för rotning av enheter är förbjudna i Google Play, men Verify Apps varnar användare när de försöker installera en upptäckt rotapplikation – oavsett var den kommer ifrån. Dessutom försöker Verify Apps identifiera och blockera installationer av kända skadliga applikationer som utnyttjar en sårbarhet för eskalering av rättigheter. Om en sådan applikation redan har installerats kommer Verify Apps att meddela användaren och försöka ta bort den upptäckta applikationen.
- I förekommande fall skickar inte Google Hangouts- och Messenger-applikationer media automatiskt till processer som mediaserver.
Fullständig information om alla problemadresser finns på webbplatsen för säkerhetsbulletin.
Det finns inga ord om när man kan förvänta sig patchen för någon annan Android-driven enhet, men aktuell Nexus enheter, Android One telefoner och Pixel C har en uppdatering som skickas ut via luften från och med idag, och den bör rullas ut till alla enheter i god tid. Om du är den otåliga typen (och i så fall, varför kör du inte Android N Beta?) kan du flasha fabriksbilderna som publicerats på Googles utvecklarwebbplats.