Innehållsförteckning:
Google har släppt informationen kring säkerhetsuppdateringen den 2 april för Android, vilket fullständigt mildrar de problem som beskrivs i en bulletin för flera veckor sedan, såväl som en drastisk eller andra kritiska och måttliga problem. Den här är lite annorlunda än tidigare bulletiner, med särskild uppmärksamhet åt en sårbarhet med privilegieringsupptrappning i versionerna 3.4, 3.10 och 3.14 av Linux-kärnan som används i Android. Vi diskuterar det längre ner på sidan. Under tiden är det här vad du behöver veta om den här månadens korrigeringsfil.
Uppdaterade firmwarebilder är nu tillgängliga för för närvarande stödda Nexus-enheter på Googles utvecklingswebbplats. Android Open Source-projektet har dessa förändringar att rulla ut till de relevanta filialerna nu, och allt kommer att vara komplett och synkroniserat inom 48 timmar. Uppdateringar pågår för närvarande stödda Nexus-telefoner och surfplattor och kommer att följa Googles standardprocedur för utrullning - det kan ta en vecka eller två innan du kommer till din Nexus. Alla partners - det innebär att personer som byggde din telefon, oavsett varumärke - har haft tillgång till dessa korrigeringar från och med den 16 mars 2016, och de kommer att meddela och korrigera enheter på sina egna individuella scheman.
Det allvarligaste problemet är en sårbarhet som kan möjliggöra exekvering av fjärrkod vid bearbetning av mediefiler. Dessa filer kan skickas till din telefon på alla sätt - e-post, webbläsning MMS eller snabbmeddelanden. Andra kritiska problem som korrigerats är specifika för DHCP-klienten, Qualcomms prestationsmodul och RF-drivrutin. Dessa utnyttjelser kan möjliggöra körning av kod som permanent komprometterar enhetens firmware, vilket tvingar slutanvändaren att behöva blinka igen hela operativsystemet - om "plattforms- och serviceförmågan är inaktiverade för att utveckla föreslår." Det är säkerhetsnörd som talar för att appar från okända källor kan installeras och / eller tillåter OEM-upplåsning.
Andra korrigerade sårbarheter inkluderar också metoder för att kringgå fabriksinställningsskydd, problem som kan utnyttjas för att möjliggöra förnekande av tjänstattacker och problem som tillåter körning av kod på enheter med root. IT-proffs ser gärna e-post- och ActiveSync-problem som kan ge åtkomst till "känslig" information som korrigerats i den här uppdateringen.
Som alltid påminner Google också om att det inte har rapporterats om användare som drabbats av dessa problem, och att de har en rekommenderad procedur för att förhindra att enheter blir offer för dessa och framtida problem:
- Utnyttjandet av många problem på Android försvåras av förbättringar i nyare versioner av Android-plattformen. Vi uppmuntrar alla användare att uppdatera till den senaste versionen av Android där det är möjligt.
- Android Security-teamet övervakar aktivt för missbruk med Verify Apps och SafetyNet, vilket varnar användaren om upptäckta potentiellt skadliga applikationer som kommer att installeras. Enhetsrotningsverktyg är förbjudna inom Google Play. För att skydda användare som installerar applikationer utanför Google Play är Verifiera appar aktiverade som standard och varnar användare om kända rooting-applikationer. Verifiera Apps försöker identifiera och blockera installation av kända skadliga applikationer som utnyttjar en sårbarhet med privilegieringsupptrappning. Om en sådan applikation redan har installerats kommer Verify Apps att meddela användaren och försöka ta bort sådana applikationer.
- I tillämpliga fall skickar Google Hangouts och Messenger-applikationer inte automatiskt media till processer som mediaserver.
Beträffande frågor som nämns i föregående bulletin
Den 18 mars 2016 utfärdade Google en separat kompletterande säkerhetsbulletin om problem i Linux-kärnan som används på många Android-telefoner och surfplattor. Det visades att ett utnyttjande i versionerna 3.4, 3.10 och 3.14 av Linux-kärnan som används i Android tillät att enheter komprometteras permanent - rotade, med andra ord - och berörda telefoner och andra enheter skulle kräva en omblinkning av operativsystemet för att ta igen sig. Eftersom en applikation kunde visa detta utnyttjande släpptes en bulletin från mitten av månaden. Google nämnde också att Nexus-enheter skulle få en patch "inom några dagar." Den korrigeringen uppkom aldrig, och Google nämner inte varför i den senaste säkerhetsbulletinen.
Problemet - CVE-2015-1805 - har korrigerats fullständigt i säkerhetsuppdateringen 2 april 2016. AOSP-grenar för Android-versionerna 4.4.4, 5.0.2, 5.1.1, 6.0 och 6.0.1 har fått den här korrigeringen och utrullningen till källan pågår.
Google nämner också att enheter som kan ha fått en korrigeringsdatum den 1 april 2016 inte har korrigerats mot denna speciella exploatering, och endast Android-enheter med en patchnivå daterad 2 april 2016 eller senare är aktuella.
Uppdateringen som skickades till Verizon Galaxy S6 och Galaxy S6 edge är daterad 2 april 2016 och innehåller dessa korrigeringar.
Uppdateringen som skickas till T-Mobile Galaxy S7 och Galaxy S7 edge är daterad 2 april 2016 och innehåller dessa korrigeringar.
Bygg AAE298 för olåsta BlackBerry Priv-telefoner är daterad 2 april 2016 och innehåller dessa korrigeringar. Den släpptes i slutet av mars 2016.
Telefoner som kör en 3.18-kärnversion påverkas inte av det här problemet, men kräver fortfarande korrigeringsfiler för andra problem som behandlats i korrigeringsprogrammet 2 april 2016.
