Kazalo:
Google je objavil podrobnosti v zvezi z varnostnim popravkom za 2. april za Android, ki so v celoti ublažile težave, opisane v biltenu pred nekaj tedni, pa tudi niz ali druge kritične in zmerne težave. Ta se nekoliko razlikuje od prejšnjih biltenov, pri čemer je posebna pozornost namenjena ranljivosti stopnjevanja privilegijev v različicah 3.4, 3.10 in 3.14 jedra Linuxa, ki se uporablja v Androidu. O tem bomo razpravljali v nadaljevanju. Vmes je opisano, kaj morate vedeti o mesečnem popravku.
Posodobljene slike programske opreme so zdaj na voljo za trenutno podprte naprave Nexus na spletnem mestu Google Developer. Projekt Android Open Source se zdaj te spremembe uvaja v ustrezne veje in vse bo končano in sinhronizirano v 48 urah. Nadrejene posodobitve zraka trenutno potekajo za trenutno podprte telefone in tablične računalnike Nexus. Sledili bodo standardnemu Googlovemu postopku predstavitve - do vašega Nexusa lahko traja teden ali dva. Vsi partnerji - to pomeni, da so ljudje, ki so vam izdelali telefon, ne glede na blagovno znamko - od 16. marca 2016 imeli dostop do teh popravkov in bodo objavili in popravili naprave v svojem individualnem razporedu.
Najhujša obravnavana težava je ranljivost, ki bi lahko omogočila oddaljeno izvajanje kode pri obdelavi medijskih datotek. Te datoteke lahko v vaš telefon pošljete na kateri koli način - e-pošto, brskanje po spletu in večpredstavnostna sporočila. Ostale kritične težave so specifične za odjemalca DHCP, Qualcommov izvedbeni modul in gonilnik RF. Ti podvigi bi lahko omogočili zagon kode, ki trajno ogroža vdelano programsko opremo naprave, zaradi česar bo končni uporabnik moral znova utripati celotni operacijski sistem - če "je za razvoj onemogočeno zmanjšanje platforme in storitev." Tako govorijo varnostniki, ki omogočajo namestitev aplikacij iz neznanih virov in / ali omogočajo odklepanje OEM-ja.
Druge zakrpane ranljivosti vključujejo tudi metode za izogibanje zaščite pred ponastavitvijo na Factory, težave, ki jih je mogoče uporabiti za dovoljenje napadov zavrnitve storitve, in težave, ki omogočajo izvajanje kode na napravah s root. IT strokovnjaki bodo z veseljem videli tudi težave s pošto in ActiveSync, ki bi lahko omogočile dostop do "občutljivih" informacij, zakritih v tej posodobitvi.
Kot vedno nas Google tudi opomni, da ni bilo poročil o uporabnikih, ki jih te težave zadevajo, in priporočajo postopek, s katerim preprečijo, da bi naprave postale žrtve teh in prihodnjih težav:
- Izkoriščanje številnih vprašanj v sistemu Android otežuje izboljšanje novejših različic platforme Android. Vse uporabnike spodbujamo, da posodabljajo najnovejšo različico Androida, kjer je to mogoče.
- Skupina Android Security aktivno spremlja zlorabe s sistemom Verify Apps in SafetyNet, ki bo uporabnika opozoril na odkrite potencialno škodljive aplikacije, ki naj bodo nameščene. Orodja za ukoreninjenje naprav so prepovedana v Googlu Play. Če želite zaščititi uporabnike, ki nameščajo aplikacije zunaj Google Play, je preverjanje aplikacij privzeto omogočeno in bo uporabnike opozorilo na znane programe za ukoreninjenje. Preverite, ali aplikacije poskušajo prepoznati in blokirati namestitev znanih zlonamernih aplikacij, ki izkoriščajo ranljivost stopnjevanja privilegijev. Če je takšna aplikacija že nameščena, bo Verify Apps obvestil uporabnika in poskušal odstraniti vse takšne aplikacije.
- Po potrebi aplikacije Google Hangouts in Messenger ne prenesejo samodejno medijev v procese, kot je medijski strežnik.
Glede vprašanj, omenjenih v prejšnjem glasilu
18. marca 2016 je Google izdal ločen dodatni varnostni bilten o težavah v jedru Linux, ki se uporabljajo v številnih Android telefonih in tabličnih računalnikih. Dokazano je bilo, da bi izkoriščanje v različicah 3.4, 3.10 in 3.14 jedra Linuxa, ki se uporablja v napravah Android, omogočilo trajne ogroženosti - povedano drugače - prizadete telefone in druge naprave pa bi potrebovali ponovno bliskanje operacijskega sistema, da bi okrevati. Ker je aplikacija lahko dokazala ta podvig, je bil objavljen bilten sredi meseca. Google je tudi omenil, da bodo naprave Nexus v nekaj dneh prejele obliž. Ta obliž se ni nikoli uresničil in Google v najnovejšem varnostnem biltenu ne navaja razloga.
Izdaja - CVE-2015-1805 - je bila v varnostni posodobitvi 2. aprila 2016 popolnoma popravljena. Podružnice AOSP za različice Android 4.4.4, 5.0.2, 5.1.1, 6.0 in 6.0.1 so prejele ta obliž in uvajanje v vir je v teku.
Google omenja tudi, da naprave, ki so morda prejele obliž s 1. aprilom 2016, niso bile popravljene proti temu določenemu izkoriščanju in trenutno so na voljo samo naprave Android z ravnijo popravka z dne 2. aprila 2016 ali novejše.
Posodobitev, poslana na Verizon Galaxy S6 in Galaxy S6 edge, je dana 2. aprila 2016 in vsebuje te popravke.
Posodobitev, poslana na T-Mobile Galaxy S7 in Galaxy S7 edge, je datirana 2. aprila 2016 in vsebuje te popravke.
Izdelava AAE298 za odklenjene telefone BlackBerry Priv je datirana 2. aprila 2016 in vsebuje te popravke. Izšla je konec marca 2016.
Telefoni, ki poganjajo različico jedra 3.18, ne zadevajo te posebne težave, vendar vseeno zahtevajo popravke za druge težave, ki jih obravnava obliž 2. aprila 2016.
