Система ежемесячных обновлений Google продолжает предлагать важные исправления уязвимостей, о которых многие не знают, когда-либо существовавших в Android, и в мартовский список включены 19 проблем по всей ОС. Эти обновления имеют рейтинг «Умеренный», «Высокий» или «Критический» по степени серьезности, и наряду с обновлением, выпущенным для устранения этих проблем, приводится подробное объяснение того, что исправляется. Как это часто бывает с этими ежемесячными обновлениями, вклады поступают со всего мира, а также из внутренних отделов безопасности Google, чтобы гарантировать, что Android всегда становится лучше.
Вот что вам нужно знать о исправлениях, доступных на уровне безопасности 01 марта 2016 г., а также о том, когда обновление будет выпущено на вашем телефоне или планшете.
Мартовское обновление для Android решает шесть критических проблем, восемь проблем высокого уровня и две проблемы среднего уровня. К ним относятся уязвимости повышения привилегий, уязвимости удаленного выполнения кода, удаленные уязвимости, связанные с отказом в обслуживании, и уязвимости обходного обхода во всей ОС. По мнению Google, наиболее значительными из этих проблем были уязвимости удаленного выполнения кода, обнаруженные в Mediaserver и libvpx. Эти проблемы могли позволить третьей стороне использовать мультимедийную мультимедийную информацию или медиафайл для воспроизведения в браузере для выполнения кода на телефоне или планшете с помощью специально созданного файла, который вел себя злонамеренно, а не просто воспроизводил мультимедиа. Google выпустила исправления вплоть до Android 4.4.4 для решения этих проблем.
Как часто случается с этими обновлениями, Google утверждает, что никаких доказательств активных атак с использованием этих уязвимостей не существует.
Уязвимости повышения привилегий в драйверах MediaTek и компонентах производительности Qualcomm также были рассмотрены в этом обновлении, а также в Mediaserver и Keyring. В случае использования эти уязвимости могли сделать доступ более доступным, чем было разрешено приложению. То же самое касается уязвимостей раскрытия информации в телефонии, libstagefright, WideVine и Android Kernel, но только вместо доступа к большему количеству системных функций вредоносное приложение могло бы иметь доступ к большему количеству вашей информации, чем вы дали бы разрешение на доступ.
Как часто случается с этими обновлениями, Google утверждает, что никаких доказательств активных атак с использованием этих уязвимостей не существует. Изображения для телефонов и планшетов Nexus, содержащие это мартовское обновление, теперь доступны на сайте разработчиков Google, а через неделю ожидается обновление по беспроводной сети. Google предоставил эти обновления всем своим партнерам по Android не менее 30 дней назад, и компании, которые обязались предоставлять обновления безопасности как можно быстрее - например, BlackBerry, которая уже выпускает мартовское обновление для Priv -, будут детализировать свои планы обновлений как только они могут.