Taula de continguts:
Google ha publicat els detalls sobre el pegat de seguretat del 2 d'abril per a Android, mitigant completament els problemes descrits en un butlletí fa diverses setmanes, així com diversos problemes crítics i moderats. Aquest és una mica diferent dels butlletins anteriors, amb una atenció especial a la vulnerabilitat d’escalada de privilegis a les versions 3.4, 3.10 i 3.14 del nucli Linux utilitzat a Android. En parlarem més avall de la pàgina. Mentrestant, aquí teniu el desglossament del que cal saber sobre el pegat d’aquest mes.
Les imatges actualitzades del firmware ja estan disponibles per als dispositius Nexus actualment compatibles al lloc de Google Developer. El projecte de codi obert d'Android té actualitzats aquests canvis a les oficines pertinents i tot estarà completat i sincronitzat en 48 hores. Les actualitzacions aèries estan en curs per a telèfons i tauletes Nexus actualment compatibles, i seguiran el procediment estàndard de llançament de Google. Es pot trigar una o dues setmanes a arribar al vostre Nexus. Tots els socis, és a dir, les persones que han creat el teu telèfon, independentment de la marca, han tingut accés a aquestes correccions a partir del 16 de març de 2016 i anunciaran i pegaran els dispositius en els seus propis horaris.
El problema més greu abordat és una vulnerabilitat que podria permetre l'execució remota de codi en processar fitxers multimèdia. Aquests fitxers es poden enviar al vostre telèfon mitjançant qualsevol mitjà: correu electrònic, navegació MMS o missatgeria instantània. Altres problemes crítics relacionats són específics per al client DHCP, el mòdul de rendiment Qualcomm i el controlador de RF. Aquestes explotacions podrien permetre executar codi que comprometi permanentment el microprogramari del dispositiu, obligant a l'usuari final a tornar a fer flaix el sistema operatiu complet, si es desactiven les "mitigacions de plataforma i servei" per al desenvolupament. És a dir, nerd de seguretat permet que s’instal·lin aplicacions de fonts desconegudes i / o permetin el desbloqueig d’OEM.
Altres vulnerabilitats relacionades també inclouen mètodes per evitar la protecció de restabliment de fàbrica, problemes que podrien ser explotats per permetre la denegació dels atacs de servei i problemes que permeten l'execució de codi en dispositius root. Els professionals de les TI estaran encantats de veure també problemes de correu electrònic i ActiveSync que podrien permetre l’accés a informació “sensible” inclosa en aquesta actualització.
Com sempre, Google també ens recorda que no hi ha hagut informes d’usuaris afectats per aquests problemes, i que tenen un procediment recomanat per ajudar a evitar que els dispositius caiguin víctima d’aquests i futurs problemes:
- L'explotació de molts problemes a Android es fa més difícil gràcies a les millores de les versions més noves de la plataforma Android. Recomanem que tots els usuaris s’actualitzin a la versió més recent d’Android, quan sigui possible.
- L’equip d’Android Security està vigilant activament l’abús amb Verify Apps i SafetyNet, que avisarà l’usuari sobre les aplicacions detectades potencialment nocives a punt d’instal·lar. Les eines d’arrelament de dispositius estan prohibides a Google Play. Per protegir els usuaris que instal·len aplicacions fora de Google Play, Verificar aplicacions està activada de manera predeterminada i avisarà els usuaris sobre aplicacions d'arrelament conegudes. Verifiqueu els intents d’aplicacions d’identificar i bloquejar la instal·lació d’aplicacions malintencionades conegudes que exploten una vulnerabilitat d’escalada de privilegis. Si ja s'ha instal·lat una aplicació així, verifiqueu que les aplicacions notificaran l'usuari i intentaran eliminar aquestes aplicacions.
- Segons correspon, les aplicacions de Google Hangouts i Messenger no passen automàticament contingut multimèdia a processos com el mediador.
Respecte a les qüestions esmentades al butlletí anterior
El 18 de març de 2016, Google va publicar un butlletí addicional de seguretat addicional sobre problemes del nucli Linux utilitzat en molts telèfons i tauletes Android. Es va demostrar que una explotació de les versions 3.4, 3.10 i 3.14 del nucli Linux usada a Android permetia que els dispositius estiguessin en perill permanent - arrelats, és a dir, i que els telèfons afectats i altres dispositius requerissin un replantejament del sistema operatiu per recuperar-se. Com que una aplicació va poder demostrar aquesta explotació, es va publicar un butlletí a mig mes. Google també va esmentar que els dispositius Nexus rebrien un pegat "en pocs dies". Aquest pegat no es va materialitzar mai i Google no fa esment del perquè al darrer butlletí de seguretat.
El número (CVE-2015-1805) s'ha quedat completament actualitzat en l'actualització de seguretat del 2 d'abril de 2016. Les sucursals AOSP per a les versions Android 4.4.4, 5.0.2, 5.1.1, 6.0 i 6.0.1 han rebut aquest pegat i el llançament a l'origen està en curs.
Google també esmenta que els dispositius que poden haver rebut un pegat de l'1 d'abril de 2016 no s'han aplicat a aquesta explotació en concret, i només hi ha actuals els dispositius Android amb nivell de pedaç de 2 d'abril de 2016 o posteriors.
L'actualització enviada al Verizon Galaxy S6 i Galaxy S6 edge té data del 2 d'abril de 2016 i conté aquestes solucions.
L'actualització enviada al T-Mobile Galaxy S7 i Galaxy S7 edge té data del 2 d'abril de 2016 i conté aquestes solucions.
La creació AAE298 per a telèfons BlackBerry Priv desbloquejats té data del 2 d'abril de 2016 i conté aquestes solucions. Va ser llançat a finals de març del 2016.
Els telèfons que utilitzen una versió del nucli 3.18 no estan afectats per aquest problema concret, però encara requereixen els pegats per a altres problemes tractats al pegat del 2 d'abril de 2016.
