Google har släppt den senaste månadens säkerhetsuppdatering för Android, med fullständig information och ny mjukvara tillgänglig. Det nya datumet för säkerhetskorrigering är 1 juni 2016 och ändringarna i Android Open Source-projektet bör vara färdiga och publiceras inom 48 timmar. Google berättar också att partner har haft tillgång till varningarna i den här månadens bulletin sedan den 2 maj eller tidigare.
Google säger att det har funnits noll rapporter om enheter som aktivt utnyttjas av dessa sårbarheter.
Den här månaden ger patchar för 21 säkerhetsproblem som sträcker sig från allvarlighet från kritisk till måttlig. Enligt Google är det mest allvarliga problemet "en kritisk säkerhetssårbarhet som kan möjliggöra exekvering av fjärrkod på en drabbad enhet genom flera metoder som e-post, webbläsning och MMS vid bearbetning av mediefiler." Det verkar som att Stagefright-biblioteket fortsätter att vara ett populärt fokus för säkerhetsforskare och Googles säkerhetsteam, vilket gör att medieservern delas upp från OS-lagret och uppdateras separat i Android N ännu viktigare.
Google betonar också (som det gör varje månad) att det har funnits noll rapporter om enheter som aktivt utnyttjas av dessa sårbarheter, och att säkerhetsskydd på plattformsnivå och serviceskydd som SafetyNet gör risken att faktiskt påverkas ganska låg.
En snabb sammanfattning:
- Utnyttjandet av många problem på Android försvåras av förbättringar i nyare versioner av Android-plattformen. Vi uppmuntrar alla användare att uppdatera till den senaste versionen av Android där det är möjligt.
- Android Security-teamet övervakar aktivt för missbruk med Verify Apps och SafetyNet, som är utformade för att varna användare om potentiellt skadliga applikationer. Verifiera att Apps är som standard aktiverat på enheter med Google Mobile Services och är särskilt viktigt för användare som installerar applikationer utanför Google Play. Enhetsrotningsverktyg är förbjudna inom Google Play, men Verify Apps varnar användare när de försöker installera ett upptäckt rooting-program - oavsett var det kommer från. Verify Apps försöker dessutom identifiera och blockera installation av kända skadliga applikationer som utnyttjar en sårbarhet med privilegieringsupptrappning. Om en sådan applikation redan har installerats kommer Verify Apps att meddela användaren och försöka ta bort den upptäckta applikationen.
- I tillämpliga fall skickar Google Hangouts och Messenger-applikationer inte automatiskt media till processer som mediaserver.
Fullständig information om alla problemadresser finns på säkerhetsbulletinsidan.
Det finns inget ord om när man kan förvänta sig korrigeringen för någon annan Android-driven enhet, men nuvarande Nexus-enheter, Android One-telefoner och Pixel C har en uppdatering som skjuter ut över luften från och med idag, och den bör rullas ut till alla enheter i tid. Om du är den otåliga typen (och i så fall varför kör du inte Android N Beta?) Kan du blinka fabriksbilderna som publicerats på Googles webbplats för utvecklare.
