תוכן עניינים:
גוגל פרסמה את הפרטים סביב תיקון האבטחה ב -2 באפריל עבור אנדרואיד, והפכה לחלוטין למתן בעיות בנושאים המתוארים בעלון לפני מספר שבועות, כמו גם בעיות קשות ומתונות אחרות. זה שונה במקצת מהעלונים הקודמים, עם תשומת לב מיוחדת לפגיעות של הסלמת הרשאות בגירסאות 3.4, 3.10 ו- 3.14 של גרעין לינוקס המשמש באנדרואיד. נדון בזה בהמשך הדף. בינתיים, הנה פירוט הדברים שאתה צריך לדעת על תיקון החודש.
תמונות קושחה מעודכנות זמינות כעת למכשירי Nexus הנתמכים כרגע באתר המפתחים של גוגל. לפרויקט הקוד הפתוח של אנדרואיד השינויים הללו מתגלגלים כעת לסניפים הרלוונטיים והכל יושלם ויסונכרן תוך 48 שעות. במהלך עדכוני האוויר מתבצעות עבור טלפונים וטאבלטים של Nexus הנתמכים כרגע, והם יפעלו על פי נוהל ההפעלה הרגיל של גוגל - זה עשוי לקחת שבוע או שבועיים להגיע ל- Nexus שלך. כל השותפים - המשמעות של האנשים שבנו את הטלפון שלך, ללא קשר למותג - קיבלו גישה לתיקונים אלה החל מה -16 במרץ 2016, והם יודיעו ויתקן מכשירים בלוחות הזמנים האישיים שלהם.
הבעיה החמורה ביותר שאליה מטפלים היא פגיעות שעלולה לאפשר ביצוע קוד מרחוק בעת עיבוד קבצי מדיה. ניתן לשלוח קבצים אלה לטלפון שלך בכל דרך שהיא - דוא"ל, גלישה באינטרנט ב- MMS או העברת הודעות מיידיות. נושאים קריטיים אחרים המתוקנים הם ספציפיים ללקוח DHCP, מודול הביצועים של קוואלקום ומנהג RF. ניצולים אלה עשויים לאפשר הפעלת קוד המסכן לצמיתות את הקושחה של המכשיר, מה שמאלץ את משתמש הקצה להזדקק להבהב מחדש את מערכת ההפעלה המלאה - אם "הפחתות פלטפורמה ושירותים מושבתות לצורך הצעת פיתוח." זה מדבר על חנון אבטחה שמאפשר להתקין אפליקציות ממקורות לא ידועים ו / או מאפשרים נעילת OEM.
פגיעויות אחרות המתוקנות כוללות גם שיטות לעקוף את ההגנה על איפוס מפעל, בעיות בהן ניתן לנצל כדי לאפשר התקפות מניעת שירות וסוגיות המאפשרות ביצוע קוד במכשירים עם שורש. אנשי IT ישמחו לראות גם בעיות דואר ו ActiveSync העלולות לאפשר גישה למידע "רגיש" המתוקן בעדכון זה.
כמו תמיד, גוגל גם מזכירה לנו שלא דווח על משתמשים שהושפעו מהבעיות הללו, ויש להם נוהל מומלץ כדי למנוע מכשירים להיפגע לקורבן לסוגיות אלה ובעתיד:
- הניצול לסוגיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו מעודדים את כל המשתמשים לעדכן לגירסה האחרונה של אנדרואיד במידת האפשר.
- צוות האבטחה של אנדרואיד עוקב באופן פעיל אחר שימוש לרעה באמצעות Verify Apps ו- SafetyNet, אשר יזהיר את המשתמש לגבי יישומים שייתכן כי הם עלולים להתקין. כלי השתרשות מכשירים אסורים ב- Google Play. כדי להגן על משתמשים שמתקינים יישומים מחוץ ל- Google Play, אמת האפליקציות מופעל כברירת מחדל ויזהיר משתמשים לגבי יישומי השתרשות ידועים. אמת את ניסיונות היישומים לזהות ולחסום התקנה של יישומים זדוניים ידועים המנצלים פגיעות בהסלמת הרשאות. אם יישום כזה כבר הותקן, Verify Apps יודיע למשתמש וינסה להסיר כל יישום כזה.
- בהתאם לצורך, יישומי Google Hangouts ו- Messenger אינם מעבירים מדיה אוטומטית לתהליכים כמו שרת מדיה.
לגבי סוגיות שהוזכרו בעלון הקודם
ב- 18 במרץ, 2016 גוגל פרסמה עלון אבטחה משלים נפרד אודות סוגיות בגרעין הלינוקס המשמש בטלפונים וטאבלטים אנדרואיד רבים. הודגם כי ניצול בגירסאות 3.4, 3.10 ו- 3.14 של גרעין הלינוקס המשמש במכשירי אנדרואיד, מאפשר להתפשר לצמיתות של מכשירים - מושרשים, או במילים אחרות - והטלפונים והמכשירים האחרים שהושפעו ידרשו הבזק מחדש של מערכת ההפעלה כדי להחלים. מכיוון שאפליקציה הצליחה להפגין ניצול זה, פורסם עלון של אמצע החודש. גוגל גם הזכירה שמכשירי Nexus יקבלו תיקון "תוך מספר ימים". התיקון הזה מעולם לא התממש, וגוגל לא מזכירה מדוע בעלון האבטחה האחרון.
הבעיה - CVE-2015-1805 - טופלה לחלוטין בעדכון האבטחה ב- 2 באפריל 2016. סניפי AOSP עבור גרסאות אנדרואיד 4.4.4, 5.0.2, 5.1.1, 6.0 ו- 6.0.1 קיבלו תיקון זה, וההפעלה למקור בעיצומה.
גוגל גם מזכירה שמכשירים שאולי קיבלו תיקון מיום 1 באפריל 2016 לא טופלו כנגד ניצול מסוים זה, ורק מכשירי אנדרואיד עם רמת תיקון מיום 2 באפריל 2016 ואילך הם עדכניים.
העדכון שנשלח לקצה Verizon Galaxy S6 ול- Galaxy S6 מיום 2 באפריל 2016 והוא מכיל תיקונים אלה.
העדכון שנשלח ל- T-Mobile Galaxy S7 ול- Galaxy S7 הוא מיום 2 באפריל 2016 והוא מכיל תיקונים אלה.
בנה AAE298 לטלפונים של BlackBerry Priv שלא נעולים מיום 2 באפריל 2016 והוא מכיל תיקונים אלה. הוא שוחרר בסוף מרץ, 2016.
טלפונים המריצים גרסת גרעין 3.18 אינם מושפעים מהבעיה הספציפית הזו, אך עדיין דורשים את התיקונים לבעיות אחרות שטופלו בתיקון 2 באפריל 2016.
