目录:
谷歌发布了针对Android的4月2日安全补丁的详细信息,完全缓解了几周前公告中描述的问题以及其他严重和温和的问题。 这个与以前的公告有点不同,特别注意Android中使用的Linux内核版本3.4, 3.10和3.14中的权限提升漏洞。 我们将在页面下方进行讨论。 与此同时,这里是您需要了解的关于本月补丁的详细信息。
现在,Google Developer站点上当前支持的Nexus设备可以使用更新的固件映像。 Android开源项目现在将这些更改推广到相关分支机构,一切都将在48小时内完成并同步。 目前支持的Nexus手机和平板电脑正在进行无线更新,并且将遵循标准的Google推出程序 - 可能需要一到两周才能到达您的Nexus。 所有合作伙伴 - 这意味着构建您的手机的人,无论品牌如何 - 都可以在2016年3月16日之前访问这些修复程序,他们将按照自己的时间表公布和修补设备。
解决的最严重问题是在处理媒体文件时可能允许远程执行代码的漏洞。 这些文件可以通过电子邮件,网络浏览彩信或即时消息发送到您的手机。 修补的其他关键问题特定于DHCP客户端,Qualcomm的性能模块和RF驱动程序。 这些漏洞可能允许代码运行永久性地破坏设备固件,迫使最终用户需要重新刷新整个操作系统 - 如果“平台和服务缓解被禁用用于开发建议”。 这是安全性的说法,允许安装来自未知来源的应用程序和/或允许OEM解锁。
修补的其他漏洞还包括绕过出厂重置保护的方法,可能被利用以允许拒绝服务攻击的问题,以及允许在具有root用户的设备上执行代码的问题。 IT专业人员也很乐意看到可能允许访问此更新中修补的“敏感”信息的邮件和ActiveSync问题。
与往常一样,Google还提醒我们,没有关于用户受这些问题影响的报告,他们有一个建议的程序来帮助防止设备成为这些和未来问题的受害者:
- 通过Android平台的新版本中的增强功能,对Android上的许多问题的利用变得更加困难。 我们鼓励所有用户尽可能更新到最新版本的Android。
- Android安全团队正在使用Verify Apps和SafetyNet主动监控滥用行为,这将警告用户有关已检测到的可能有害的应用程序即将安装。 Google Play禁止使用设备生根工具。 为了保护从Google Play外部安装应用程序的用户,默认情况下会启用“验证应用”,并会警告用户有关已知的生根应用程序。 验证应用程序是否尝试识别和阻止利用权限提升漏洞的已知恶意应用程序的安装。 如果已安装此类应用程序,则验证应用程序将通知用户并尝试删除任何此类应用程序。
- 适当时,Google Hangouts和Messenger应用程序不会自动将媒体传递给mediaserver等流程。
关于上一期公告中提到的问题
2016年3月18日,Google发布了一份单独的补充安全公告,内容涉及许多Android手机和平板电脑上使用的Linux内核问题。 据证明,Android中使用的Linux内核版本3.4, 3.10和3.14中的漏洞允许设备永久性地受到破坏 - 换句话说,根源 - 并且受影响的电话和其他设备需要重新刷新操作系统恢复。 由于应用程序能够证明此漏洞,因此发布了月中公告。 谷歌还提到Nexus设备将在几天内收到补丁。 该补丁从未实现,谷歌在最新的安全公告中没有提到原因。
问题 - CVE-2015-1805 - 已在2016年4月2日的安全更新中完全修补。 Android版本4.4.4, 5.0.2, 5.1.1, 6.0和6.0.1的AOSP分支已收到此修补程序,并且正在进行源代码的推广。
谷歌还提到,可能已收到日期为2016年4月1日的补丁的设备尚未针对此特定漏洞进行修补,并且只有具有日期为2016年4月2日或更晚的补丁级别的Android设备才是最新的。
发送到Verizon Galaxy S6和Galaxy S6边缘的更新日期为2016年4月2日, 确实 包含这些修复程序。
发送到T-Mobile Galaxy S7和Galaxy S7边缘的更新日期为2016年4月2日,并且 确实 包含这些修复程序。
针对未锁定的BlackBerry Priv手机构建AAE298的日期为2016年4月2日,并且 确实 包含这些修复程序。 它于2016年3月下旬发布。
运行3.18内核版本的电话不受此特定问题的影响,但仍需要针对2016年4月2日补丁中解决的其他问题的补丁。
