Новые патчи для Android разделены на два уровня
Новости Мобильная жизнь
На прошлой неделе хрупкой экосистеме Android пришлось пережить сразу два потрясения: раскрытие обхода шифрования данных и наличия новой угрозы — рекламного ПО HummingBad. Возможность взлома FDE лишний раз всем напомнила о необходимости своевременно устанавливать патчи, однако статистика Duo Labs показывает, что это большая проблема для пользователей, вынужденных полагаться в этом вопросе на операторов сотовой связи и производителей мобильных устройств, пишет 8 июля Threatpost.
Новый набор патчей от Google, запоздавший из-за Дня независимости США, усугубил проблему: он очень объемен и содержит заплатки для ряда регулярно латаемых компонентов, в том числе для Mediaserver, модулей производства Qualcomm, MediaTek и NVIDIA. Телеоператоры и вендоры получили эти патчи 6 июля, а на AOSP они станут доступными в ближайшие сутки.
Google обращает всеобщее внимание на то, что новый бюллетень содержит два раздела, соответствующих разным уровням патчинга: по состоянию на 1 июля (неполный уровень) и на 5 июля (полное решение всех накопившихся проблем). При этом набор, датированный 1 июля, может также включать некоторые патчи от 5 июля.
«Этот бюллетень предлагает два уровня патчинга с тем, чтобы обеспечить партнерам по Android-бизнесу гибкость: патчи для уязвимостей, одинаковых для всех Android-устройств, можно будет применить в первую очередь, — пишут представители разработчика. — Мы призываем Android-партнеров закрыть все уязвимости, перечисленные в этом бюллетене, и ориентироваться на наиболее актуальный уровень патчинга».
Самыми серьезными из ныне закрываемых уязвимостей являются семь багов удаленного исполнения кода в Mediaserver. Они включены в набор уровня 1 июля вместе с критической RCE в OpenSSL и Boring SSL (CVE-2016-2108).
Набор уровня 5 июля устраняет дюжину критических брешей повышения привилегий, в том числе в драйверах MediaTek (драйверах Wi-Fi на некоторых устройствах), драйвере графического процессора Qualcomm, компоненте для измерения производительности от того же вендора и драйвере видеокарты NVIDIA. Этот уровень также предполагает устранение уязвимостей в файловой системе ядра (CVE-2016-3775) и в драйвере USB (CVE-2015-8816).
Ряд брешей, закрываемых июльским апдейтом, оценен как «высокой степени опасности». Таковы присутствующие на всех Android-устройствах RCE-уязвимость в Bluetooth и множественные баги повышения привилегий/раскрытия информации в Mediaserver, OpenSSL, libpng, службах LockSettings и ChooserTarget. Набор, датированный 5 июля, устраняет высоко опасные уязвимости повышения привилегий в драйверах компонентов Qualcomm, NVIDIA, MediaTech, а также в файловой системе ядра, драйвере SPI-интерфейса и сетевых компонентах.
|
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
