Зміст:
Google оприлюднив деталі, пов’язані з виправленням безпеки 2 квітня для Android, повністю пом'якшуючи проблеми, описані в бюлетені кілька тижнів тому, а також цілий чи інші критичні та помірні проблеми. Цей дещо відрізняється від попередніх бюлетенів, при цьому особлива увага приділяється вразливості ескалації привілеїв у версіях 3.4, 3.10 та 3.14 ядра Linux, що використовується в Android. Ми обговоримо це далі на сторінці. Тим часом, ось розбиття того, що вам потрібно знати про виправлення цього місяця.
Оновлені зображення прошивки тепер доступні для підтримуваних на даний момент пристроїв Nexus на веб-сайті розробника Google. У проекті з відкритим кодом Android зараз ці зміни впроваджуються у відповідні гілки, і все буде завершено та синхронізовано протягом 48 годин. У режимі ефіру оновлюються поточні підтримувані телефони Nexus та планшети Nexus, і вони дотримуватимуться стандартної процедури запуску Google - це може зайняти тиждень-два, щоб дістатися до вашого Nexus. Усі партнери - це означає, що люди, які створили ваш телефон, незалежно від торгової марки - отримали доступ до цих виправлень станом на 16 березня 2016 року, і вони оголошуватимуть і виправлятимуть пристрої за власним індивідуальним графіком.
Найбільш гострою проблемою є вразливість, яка може дозволити віддалене виконання коду під час обробки медіа-файлів. Ці файли можна надіслати на ваш телефон будь-якими способами - електронною поштою, веб-переглядом MMS або обміну миттєвими повідомленнями. Інші критичні проблеми, які виправлені, стосуються клієнта DHCP, продуктивного модуля Qualcomm та драйвера RF. Ці подвиги можуть дозволити запуск коду, який назавжди компрометує вбудовану програму пристрою, змушуючи кінцевого користувача потребувати повторного спалаху повної операційної системи - якщо "пом'якшення платформи та обслуговування вимкнено для пропозицій розвитку". Це захисник, що дозволяє захищати додатки з невідомих джерел та / або дозволяти розблокувати OEM.
Інші виправлені вразливості також включають методи обходу захисту від скиду на заводські налаштування, проблеми, які можна використовувати для дозволу нападів відмови в сервісі, і проблеми, що дозволяють виконувати код на пристроях з root. ІТ-фахівці із задоволенням також побачать проблеми з електронною поштою та ActiveSync, які можуть дозволити доступ до "чутливої" інформації, виправленої в цьому оновлення.
Як завжди, Google також нагадує, що не надходило жодних повідомлень про користувачів, які постраждали від цих проблем, і вони мають рекомендовану процедуру, щоб запобігти попаданню пристроїв у ці майбутні проблеми:
- Експлуатація багатьох питань на Android ускладнюється вдосконаленням новіших версій платформи Android. Ми радимо всім користувачам оновити до останньої версії Android там, де це можливо.
- Команда Android Security активно відслідковує зловживання за допомогою Verify Apps і SafetyNet, які попереджають користувача про виявлені потенційно шкідливі програми, які мають бути встановлені. Інструменти вкорінення пристроїв заборонені в Google Play. Щоб захистити користувачів, які встановлюють додатки за межами Google Play, програма Verify Apps увімкнена за замовчуванням та попереджатиме користувачів про відомі програми вкорінення. Перевірте спроби додатків виявити та заблокувати встановлення відомих шкідливих програм, які використовують вразливість ескалації привілеїв. Якщо таку програму вже встановлено, Verify Apps повідомить користувача та спробує видалити будь-які подібні програми.
- У відповідних випадках програми Google Hangouts та програми Messenger не передають медіа-файли автоматично таким процесам, як медіасервер.
Щодо питань, згаданих у попередньому бюлетені
18 березня 2016 року Google видав окремий додатковий інформаційний бюлетень щодо безпеки в ядрі Linux, який використовується на багатьох телефонах та планшетах Android. Було продемонстровано, що експлуатація у версіях 3.4, 3.10 та 3.14 ядра Linux, що використовується в Android, дозволила постійно забруднювати пристрої - вкорінюватися, іншими словами - і зачеплені телефони та інші пристрої потребують повторного спалаху операційної системи, щоб одужати. Оскільки програма змогла продемонструвати цей подвиг, бюлетень у середині місяця був випущений. Google також зазначив, що пристрої Nexus отримають виправлення "протягом декількох днів". Цей патч ніколи не здійснився, і Google не згадує, чому саме в останньому бюлетені безпеки.
Проблема - CVE-2015-1805 - повністю виправлена в оновленнях безпеки 2 квітня 2016 року. Гілки AOSP для версій Android 4.4.4, 5.0.2, 5.1.1, 6.0 та 6.0.1 отримали цей виправлення, і перехід до джерела триває.
Google також згадує, що пристрої, які, можливо, отримали виправлення з 1 квітня 2016 року, не були зафіксовані на цьому конкретному використанні, і є лише пристрої Android з рівнем патчу від 2 квітня 2016 року або пізніших.
Оновлення, надіслане на край Verizon Galaxy S6 та Galaxy S6, датоване 2 квітня 2016 року і містить ці виправлення.
Оновлення, надіслане до T-Mobile Galaxy S7 та Galaxy S7 edge, датоване 2 квітня 2016 року і містить ці виправлення.
Збірка AAE298 для розблокованих телефонів BlackBerry Priv датована 2 квітня 2016 року і містить ці виправлення. Вийшов у кінці березня 2016 року.
Телефони з версією ядра 3.18 не торкаються цього конкретного питання, але все ж вимагають виправлення для інших проблем, вирішених у патчі 2 квітня 2016 року.
