Talaan ng mga Nilalaman:
Inilabas ng Google ang mga detalyeng nakapalibot sa patch ng seguridad ng Abril 2 para sa Android, na ganap na nagpapagaan ng mga isyu na inilarawan sa isang bulletin ilang linggo na ang nakararaan pati na rin ang isang pagpatay o iba pang kritikal at katamtamang mga isyu. Ang isang ito ay medyo naiiba mula sa mga nakaraang mga bulletins, na may espesyal na pansin na binabayaran sa isang pribilehiyo pagkabulok ng pagtaas sa mga bersyon 3.4, 3.10 at 3.14 ng Linux kernel na ginamit sa Android. Tatalakayin namin ang higit pa sa pahina. Samantala, narito ang pagkasira ng dapat mong malaman tungkol sa buwan ng patch.
Magagamit na ang na-update na mga imahe ng firmware para sa kasalukuyang sinusuportahan na mga aparato ng Nexus sa site ng Google Developer. Ang Proyekto ng Buksan ng Android ay may mga pagbabagong ito sa mga nauugnay na sanga ngayon, at ang lahat ay magiging kumpleto at magkasabay sa loob ng 48 oras. Sa paglipas ng mga pag-update ng hangin ay isinasagawa para sa kasalukuyang sinusuportahan na mga telepono at tablet ng Nexus, at susundin ang karaniwang pamamaraan ng Google rollout - maaaring tumagal ng isang linggo o dalawa upang makapunta sa iyong Nexus. Ang lahat ng mga kasosyo - nangangahulugan ito na ang mga taong nagtayo ng iyong telepono, anuman ang tatak - ay nagkaroon ng access sa mga pag-aayos na ito noong Marso 16 2016, at ipapahayag nila at i-patch ang mga aparato sa kanilang sariling mga indibidwal na iskedyul.
Ang pinaka matinding isyu na tinugunan ay isang kahinaan na maaaring payagan ang pagpapatupad ng remote code kapag pinoproseso ang mga file ng media. Ang mga file na ito ay maaaring maipadala sa iyong telepono sa anumang paraan - email, pag-browse sa web MMS o instant messaging. Ang iba pang mga kritikal na isyu na naka-patch ay tiyak sa client ng DHCP, Performance Module ng Qualcomm at driver ng RF. Maaaring pahintulutan ng mga mapagsamantalang ito ang code na patakbuhin na permanenteng nakompromiso ang aparato ng firmware, pinilit ang end user na kailangan na muling mag-flash ng buong operating system - kung "ang mga platform at serbisyo ng mga pagpapagaan ay hindi pinagana para sa mga mungkahi sa pag-unlad." Iyon ang security-nerd na magsalita para sa pagpapahintulot sa mga app mula sa hindi kilalang mga mapagkukunan na mai-install at / o pinapayagan ang pag-unlock ng OEM.
Ang iba pang mga kahinaan na naka-patch ay may kasamang mga pamamaraan upang makaligta sa Proteksyon ng Pabrika ng Reset, mga isyu na maaaring pinagsamantalahan upang payagan ang pagtanggi sa mga pag-atake ng serbisyo, at mga isyu na nagpapahintulot sa pagpapatupad ng code sa mga aparato na may ugat. Masisiyahan ang mga propesyonal sa IT na makita din ang mga isyu sa mail at ActiveSync na maaaring payagan ang pag-access sa impormasyon na "sensitibo" na naka-patched sa update na ito.
Tulad ng nakasanayan, ipinapaalala rin sa amin ng Google na walang mga ulat ng mga gumagamit na naapektuhan ng mga isyung ito, at mayroon silang isang inirekumendang pamamaraan upang makatulong na maiwasan ang mga aparato mula sa mga biktima at mga hinaharap na isyu:
- Ang paggamit ng maraming mga isyu sa Android ay mas mahirap sa pamamagitan ng mga pagpapahusay sa mga mas bagong bersyon ng platform ng Android. Hinihikayat namin ang lahat ng mga gumagamit na mag-update sa pinakabagong bersyon ng Android kung saan posible.
- Ang koponan ng Android Security ay aktibong pagsubaybay para sa pang-aabuso sa Verify Apps at SafetyNet, na babalaan ang gumagamit tungkol sa napansin na mga potensyal na nakakapinsalang aplikasyon na mai-install. Ang mga tool sa rooting ng aparato ay ipinagbabawal sa loob ng Google Play. Upang maprotektahan ang mga gumagamit na nag-install ng mga application mula sa labas ng Google Play, pinagana ang default na Apps sa pamamagitan ng default at babalaan ang mga gumagamit tungkol sa mga kilalang application na pag-rooting. Patunayan ang mga pagtatangka ng Apps upang makilala at hadlangan ang pag-install ng mga kilalang nakakahamak na aplikasyon na nagsasamantala sa isang kahinaan sa escalation ng pribilehiyo. Kung na-install na ang naturang application, i-verify ng Aplikasyon ang gumagamit at subukan na tanggalin ang anumang mga naturang application.
- Kung naaangkop, ang mga aplikasyon ng Google Hangout at Messenger ay hindi awtomatikong ipapasa ang media sa mga proseso tulad ng mediaserver.
Tungkol sa mga isyu na nabanggit sa nakaraang bulletin
Noong Marso 18, 2016 naglabas ang Google ng isang hiwalay na bulletin ng supplemental tungkol sa mga isyu sa kernel ng Linux na ginagamit sa maraming mga teleponong Android at tablet. Ipinakita na ang isang pagsasamantala sa mga bersyon 3.4, 3.10 at 3.14 ng Linux kernel na ginamit sa Android pinapayagan ang mga aparato na permanenteng nakompromiso - na-root, sa ibang salita - at ang mga apektadong telepono at iba pang mga aparato ay mangangailangan ng muling pag-flash ng operating system na mabawi. Dahil ang isang application ay nagawang ipakita ang pagsasamantala na ito, isang bulletin ng kalagitnaan ng buwan ay pinakawalan. Nabanggit din ng Google na ang mga aparatong Nexus ay makakatanggap ng isang patch "sa loob ng ilang araw." Ang patch na iyon ay hindi naging materialized, at hindi binanggit ng Google kung bakit sa pinakabagong bulletin ng seguridad.
Ang isyu - CVE-2015-1805 - ay ganap na naka-patched sa pag-update ng seguridad ng Abril 2, 2016. Ang mga sanga ng AOSP para sa mga bersyon ng Android 4.4.4, 5.0.2, 5.1.1, 6.0, at 6.0.1 ay nakatanggap ng patch na ito, at ang pag-rollout sa mapagkukunan ay isinasagawa.
Binanggit din ng Google na ang mga aparato na maaaring nakatanggap ng isang patch na may petsang Abril 1, 2016 ay hindi pa naka-patched laban sa partikular na pagsasamantala, at ang mga aparatong Android lamang na may antas ng patch na may petsang Abril 2, 2016 o mas bago ay kasalukuyang.
Ang pag-update na ipinadala sa gilid ng Verizon Galaxy S6 at Galaxy S6 ay napetsahan noong Abril 2, 2016 at naglalaman ng mga pag-aayos na ito.
Ang pag-update na ipinadala sa T-Mobile Galaxy S7 at Galaxy S7 na gilid ay napetsahan noong Abril 2, 2016 at naglalaman ng mga pag-aayos na ito.
Gumawa ng AAE298 para sa mga naka-lock na mga teleponong BlackBerry Priv ay napetsahan noong Abril 2, 2016 at naglalaman ng mga pag-aayos na ito. Ito ay pinakawalan noong huling bahagi ng Marso, 2016.
Ang mga teleponong nagpapatakbo ng 3.18 kernel na bersyon ay hindi naapektuhan ng partikular na isyu na ito, ngunit nangangailangan pa rin ng mga patch para sa iba pang mga isyu na tinugunan sa Abril 2, 2016 patch.
