Оглавление:
Google выпустил подробности, касающиеся исправления безопасности для Android от 2 апреля, полностью устраняя проблемы, описанные в бюллетене несколько недель назад, а также ряд проблем или другие критические и умеренные проблемы. Этот немного отличается от предыдущих бюллетеней, при этом особое внимание уделялось уязвимости повышения привилегий в версиях 3.4, 3.10 и 3.14 ядра Linux, используемого в Android. Мы обсудим это дальше вниз по странице. А пока, вот разбивка того, что вам нужно знать о патче этого месяца.
Обновленные образы прошивки теперь доступны для поддерживаемых в настоящее время устройств Nexus на сайте Google Developer. В Android Open Source Project эти изменения теперь распространяются на соответствующие ветки, и все будет завершено и синхронизировано в течение 48 часов. По беспроводной сети идут обновления для поддерживаемых в настоящее время телефонов и планшетов Nexus, и они будут следовать стандартной процедуре развертывания Google - это может занять неделю или две, чтобы добраться до вашего Nexus. Все партнеры - это означает, что люди, которые создали ваш телефон, независимо от бренда, имели доступ к этим исправлениям по состоянию на 16 марта 2016 года, и они будут анонсировать и исправлять устройства по собственному расписанию.
Наиболее серьезная проблема - это уязвимость, которая делает возможным удаленное выполнение кода при обработке медиафайлов. Эти файлы могут быть отправлены на ваш телефон любым способом - электронная почта, просмотр веб-страниц MMS или обмен мгновенными сообщениями. Другие исправленные критические проблемы относятся к клиенту DHCP, модулю производительности Qualcomm и драйверу RF. Эти эксплойты могут позволить запускать код, который навсегда скомпрометирует микропрограмму устройства, заставляя конечного пользователя перезагружать полную операционную систему, если «снижение производительности платформы и служб отключено для целей разработки». Это говорит о том, что безопасность позволяет устанавливать приложения из неизвестных источников и / или разрешать разблокировку OEM.
Среди других исправленных уязвимостей также есть методы обхода Factory Reset Protection, проблемы, которые могут быть использованы для атак типа «отказ в обслуживании», и проблемы, которые позволяют выполнять код на устройствах с root-доступом. ИТ-специалисты также будут рады видеть проблемы с почтой и ActiveSync, которые могут позволить доступ к «конфиденциальной» информации, исправленной в этом обновлении.
Как всегда, Google также напоминает нам, что не было сообщений о том, что эти проблемы затрагивают пользователей, и что у них есть рекомендуемая процедура, которая поможет предотвратить попадание устройств в эти и будущие проблемы:
- Использование многих проблем на Android усложняется благодаря улучшениям в новых версиях платформы Android. Мы рекомендуем всем пользователям обновиться до последней версии Android, где это возможно.
- Команда Android Security активно отслеживает злоупотребления с помощью Verify Apps и SafetyNet, которые будут предупреждать пользователя об обнаруженных потенциально опасных приложениях, которые должны быть установлены. Инструменты рутирования устройства запрещены в Google Play. Для защиты пользователей, которые устанавливают приложения из-за пределов Google Play, по умолчанию включена проверка приложений, которая будет предупреждать пользователей об известных приложениях для рутинга. Приложение Verify Apps пытается идентифицировать и заблокировать установку известных вредоносных приложений, использующих уязвимость повышения привилегий. Если такое приложение уже установлено, Verify Apps уведомит пользователя и попытается удалить любые такие приложения.
- При необходимости приложения Google Hangouts и Messenger не передают медиаданные автоматически таким процессам, как медиасервер.
По вопросам, упомянутым в предыдущем бюллетене
18 марта 2016 года Google выпустил отдельный дополнительный бюллетень по безопасности о проблемах в ядре Linux, используемых на многих телефонах и планшетах Android. Было продемонстрировано, что эксплойт в версиях 3.4, 3.10 и 3.14 ядра Linux, используемого в Android, позволяет навсегда скомпрометировать устройства - другими словами, - уязвимые телефоны и другие устройства потребуют повторной прошивки операционной системы для выздороветь. Поскольку приложение могло продемонстрировать этот эксплойт, был выпущен бюллетень в середине месяца. Google также упомянул, что устройства Nexus получат патч «в течение нескольких дней». Этот патч так и не появился, и Google не упоминает почему в последнем бюллетене по безопасности.
Проблема - CVE-2015-1805 - была полностью исправлена в обновлении безопасности от 2 апреля 2016 года. Ветви AOSP для Android версий 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1 получили этот патч, и происходит развертывание до источника.
Google также упоминает, что устройства, которые могли получить исправление от 1 апреля 2016 года, не были исправлены для этого конкретного эксплойта, и на данный момент действуют только устройства Android с уровнем исправления от 2 апреля 2016 года или более поздней.
Обновление, отправленное на границу Verizon Galaxy S6 и Galaxy S6, датировано 2 апреля 2016 года и содержит эти исправления.
Обновление, отправленное на грани T-Mobile Galaxy S7 и Galaxy S7, датировано 2 апреля 2016 года и содержит эти исправления.
Сборка AAE298 для разблокированных телефонов BlackBerry Priv датирована 2 апреля 2016 года и содержит эти исправления. Выпущена в конце марта 2016 года.
Телефоны с версией ядра 3.18 не подвержены этой конкретной проблеме, но все же требуют исправлений для других проблем, исправленных в патче от 2 апреля 2016 года.
