Преглед садржаја:
Гоогле је објавио детаље око закрпе за безбедност 2. априла за Андроид, у потпуности ублажавајући проблеме описане у билтену пре неколико недеља, као и низ других или критичних и умерених проблема. Овај се мало разликује од претходних билтена, с посебном пажњом посвећеном рањивости ескалације привилегија у верзијама 3.4, 3.10 и 3.14 Линук кернела који се користи у Андроиду. О томе ћемо даље расправљати у наставку. У међувремену, ево детаља о ономе што бисте требали знати о месечној закрпи.
Ажуриране слике фирмвера сада су доступне за тренутно подржане Некус уређаје на веб локацији Гоогле програмера. Андроид Опен Соурце пројекат сада има ове промене у одговарајуће огранке и све ће бити завршено и синхронизовано у року од 48 сати. У току су ажурирања за тренутно подржане Некус телефоне и таблете и следиће стандардни Гооглеов поступак представљања - можда ће вам требати недељу или две да стигнете до вашег Некуса. Сви партнери - то значи да су људи који су вам направили телефон, без обзира на марку - имали приступ тим исправкама од 16. марта 2016, а они ће најавити и закрпати уређаје према сопственом индивидуалном распореду.
Најтеже ријешено питање је рањивост која би могла омогућити даљинско извршавање кода приликом обраде медијских датотека. Ове датотеке се могу послати на ваш телефон на било који начин - е-поштом, ММС-ом или претраживањем веб порука. Остала критична питања закрчена су специфична за ДХЦП клијент, Куалцоммов перформансни модул и РФ драјвер. Ови подвизи могу да омогуће покретање кода који трајно компромитује фирмвер уређаја, приморавајући крајњег корисника да поново мора да флешира читав оперативни систем - ако су „смањења платформе и услуга онемогућена због предлога развоја“. То говоре безбједносни шансе за омогућавање инсталирања апликација из непознатих извора и / или омогућавање откључавања ОЕМ-а.
Остале закрпљене рањивости такође укључују методе за заобилажење заштите од ресета фабрике, проблеме који се могу искористити за омогућавање напада ускраћивања услуге и проблеме који омогућавају извршавање кода на уређајима са роот-ом. ИТ професионалци ће радо видети и питања е-поште и АцтивеСинц која би могла да омогуће приступ „осетљивим“ информацијама закрпљеним у овом ажурирању.
Као и увек, Гоогле нас такође подсећа да није било извештаја о корисницима који су погођени овим проблемима, и они имају препоручену процедуру за спречавање уређаја да постану жртва ових и будућих проблема:
- Експлоатација за многе проблеме на Андроиду отежава се побољшањима новијих верзија Андроид платформе. Охрабрујемо све кориснике да пређу на најновију верзију Андроида где је то могуће.
- Андроид безбедносни тим активно прати злоупотребе са Верифи Аппс и СафетиНет, који ће упозоравати корисника о откривеним потенцијално штетним апликацијама које ће бити инсталиране. Алат за укорјењивање уређаја забрањен је у Гоогле Плаи-у. Да бисте заштитили кориснике који инсталирају апликације изван Гоогле Плаи-а, Верифи Аппс је подразумевано омогућен и упозориће кориснике на познате апликације за укорењевање. Провјерите покушаје апликација да идентифицирају и блокирају инсталацију познатих злонамјерних апликација које искориштавају рањивост ескалације привилегија. Ако је таква апликација већ инсталирана, Верифи Аппс ће обавестити корисника и покушати да уклони све такве апликације.
- По потреби, Гоогле Хангоутс и Мессенгер апликације аутоматски не преносе медије у процесе као што су медиасервер.
Што се тиче питања која су споменута у претходном билтену
18. марта 2016. Гоогле је издао посебан додатни безбедносни билтен о проблемима у Линук кернелу који се користе на многим Андроид телефонима и таблетима. Показано је да ће експлоатација у верзијама 3.4, 3.10 и 3.14 Линук кернела која се користи у Андроиду дозволити да се трајно угрозе уређаји - укоријењени, другим речима - и да ће погођени телефони и други уређаји захтевати поновни блиц оперативног система да би се опоравити се. Будући да је апликација успела да демонстрира овај подвиг, објављен је билтен средином месеца. Гоогле је такође споменуо да ће Некус уређаји добити закрпу „у року од неколико дана“. Та се закрпа никада није реализовала, а Гоогле не спомиње зашто у последњим безбедносним билтенима.
Издање - ЦВЕ-2015-1805 - потпуно је закрпљено у безбедносном ажурирању 2. априла 2016. Подружнице АОСП-а за верзије Андроид 4.4.4, 5.0.2, 5.1.1, 6.0 и 6.0.1 примиле су ову закрпу, а роллоут до извора је у току.
Гоогле такође спомиње да уређаји који су можда добили закрпу од 1. априла 2016. нису били закрпани овом конкретном експлоатацијом, а постоје само Андроид уређаји са нивоом закрпе од 2. априла 2016 или касније.
Ажурирање послато на Веризон Галаки С6 и Галаки С6 едге датирано је 2. априла 2016 и садржи ове исправке.
Ажурирање послато на Т-Мобиле Галаки С7 и Галаки С7 едге датирано је 2. априла 2016 и садржи ове исправке.
Направљен ААЕ298 за откључане БлацкБерри Прив телефоне датиран је 2. априла 2016 и садржи ове исправке. Објављен је крајем марта 2016. године.
Телефони који имају верзију кернела 3.18 нису погођени овим посебним проблемом, али још увек захтијевају закрпе за друга питања на која је закрпа закрпа 2. априла 2016.
