Sadržaj:
Google je objavio detalje oko sigurnosne zakrpe za 2. travnja za Android, u potpunosti ublažujući probleme opisane u biltenu prije nekoliko tjedana, kao i niz drugih ili kritičnih i umjerenih problema. Ovaj se malo razlikuje od prethodnih biltena, s posebnom pažnjom na ranjivost eskalacije privilegija u verzijama 3.4, 3.10 i 3.14 Linux kernela koji se koristi u Androidu. O tome ćemo dalje raspravljati u nastavku. U međuvremenu, evo detalja o onome što trebate znati o ovomjesečnom zakrpu.
Ažurirane slike firmvera sada su dostupne za trenutno podržane Nexus uređaje na web lokaciji Google Developer. Android Open Source Project te se promjene sada uvode u relevantne grane i sve će biti završeno i sinkronizirano u roku od 48 sati. U tijeku su ažuriranja zraka za trenutno podržane telefone i tablete Nexusa, a slijedit će standardni Googleov postupak predstavljanja - možda će vam trebati tjedan ili dva da dođete do vašeg Nexusa. Svi partneri - to znači da su ljudi koji su izgradili vaš telefon, bez obzira na marku - imali pristup tim ispravcima od 16. ožujka 2016., a oni će najaviti i zakrpati uređaje prema vlastitom individualnom rasporedu.
Najteže riješeno pitanje je ranjivost koja bi mogla omogućiti daljinsko izvršenje koda prilikom obrade medijskih datoteka. Te se datoteke mogu poslati na vaš telefon na bilo koji način - e-poštom, pregledavanjem MMS-a ili trenutnim porukama. Ostala kritična pitanja zakrčena su specifična za DHCP klijent, Qualcommov izvedbeni modul i RF pogonitelj. Ti bi se preokreti mogli dopustiti pokretanju koda koji trajno ugrožava firmver uređaja, prisiljavajući krajnjeg korisnika da treba ponovno bljesnuti cijeli operativni sustav - ako je onemogućeno ublažavanje platforme i usluga zbog prijedloga razvoja. " To govore bezbjednosni šanse za omogućavanje instaliranja aplikacija iz nepoznatih izvora i / ili omogućavanje otključavanja OEM-a.
Ostale zakrpljene ranjivosti uključuju i metode za zaobilaženje zaštite od ponovnog resetiranja, probleme koji se mogu iskoristiti za omogućavanje napada uskraćivanja usluge i probleme koji omogućuju izvršavanje koda na uređajima s korijenom. IT profesionalci rado će vidjeti i pitanja e-pošte i ActiveSync koja bi mogla omogućiti pristup "osjetljivim" informacijama zakrpljenim u ovom ažuriranju.
Kao i uvijek, Google nas također podsjeća da nije bilo izvještaja o korisnicima koji su pogođeni tim problemima i oni imaju preporučen postupak da spriječe da uređaji postanu žrtva ovih i budućih problema:
- Iskorištavanje mnogih problema na Androidu otežava se poboljšanjima novijih verzija Android platforme. Potičemo sve korisnike da se ažuriraju na najnoviju verziju Androida gdje je to moguće.
- Android Security tim aktivno nadgleda zloupotrebe s Verify Apps i SafetyNet, koji će upozoravati korisnika o otkrivenim potencijalno štetnim aplikacijama koje će biti instalirane. Alati za ukorijenjenje uređaja zabranjeni su u Google Playu. Da biste zaštitili korisnike koji instaliraju aplikacije izvan Google Play-a, Provjeri aplikacije omogućene su prema zadanim postavkama i upozorit će korisnike na poznate aplikacije za korijenje. Provjerite pokušaje aplikacija da identificiraju i blokiraju instalaciju poznatih zlonamjernih aplikacija koje koriste ranjivost eskalacije privilegija. Ako je takva aplikacija već instalirana, Verify Apps će obavijestiti korisnika i pokušati ukloniti sve takve programe.
- Prema potrebi, Google Hangouts i Messenger aplikacije automatski ne prosljeđuju medij u postupke poput medijaservera.
Što se tiče pitanja spomenutih u prethodnom biltenu
18. ožujka 2016. Google je izdao zasebni dodatni sigurnosni bilten o problemima u Linux kernelu koji se koriste na mnogim Android telefonima i tabletima. Pokazano je da će eksploatacija verzije 3.4, 3.10 i 3.14 Linux kernela koja se koristi u Androidu omogućiti da se uređaji trajno ugroze - ukorijenjeni, drugim riječima - te da će pogođeni telefoni i drugi uređaji zahtijevati ponovni bljesak operativnog sustava da bi se oporavak. Budući da je aplikacija uspjela pokazati ovaj eksploataciju, objavljen je bilten iz sredine mjeseca. Google je također spomenuo da će Nexus uređaji dobiti zakrpu "u roku od nekoliko dana". Ta se zakrpa nikada nije realizirala, a Google ne spominje zašto u najnovijim sigurnosnim biltenima.
Izdanje - CVE-2015-1805 - zakrpljeno je u sigurnosnom ažuriranju 2. travnja 2016. Podružnice AOSP-a za verzije Androida 4.4.4, 5.0.2, 5.1.1, 6.0 i 6.0.1 primile su ovu zakrpu, a skretnica do izvora je u tijeku.
Google također spominje da uređaji koji su možda primili zakrpu od 1. travnja 2016. nisu povezani s tim konkretnim iskorištavanjem, a trenutačni su samo Android uređaji s razinom zakrpe od 2. travnja 2016. ili noviji.
Ažuriranje poslano na Verizon Galaxy S6 i Galaxy S6 edge datirano je 2. travnja 2016. i sadrži ove ispravke.
Ažuriranje poslano na T-Mobile Galaxy S7 i Galaxy S7 edge datirano je 2. travnja 2016. i sadrži ove ispravke.
Ugrađeni AAE298 za otključane telefone BlackBerry Priv datiran je 2. travnja 2016. i sadrži te ispravke. Objavljen je krajem ožujka 2016. godine.
Telefoni koji izvode verziju kernela 3.18 nisu pogođeni ovim problemom, ali još uvijek zahtijevaju zakrpe za druga pitanja koja su riješena u zakrpi 2. travnja 2016.
