สารบัญ:
Google ได้เปิดตัวรายละเอียดเกี่ยวกับแพตช์รักษาความปลอดภัยวันที่ 2 เมษายนสำหรับ Android ซึ่งช่วยบรรเทาปัญหาที่อธิบายไว้ในกระดานข่าวเมื่อหลายสัปดาห์ที่ผ่านมาเช่นเดียวกับปัญหาร้ายแรงและปานกลางและอื่น ๆ อันนี้แตกต่างจากบูเลทีนก่อนหน้าเล็กน้อยโดยให้ความสนใจเป็นพิเศษกับช่องโหว่การเลื่อนระดับสิทธิ์ในเวอร์ชัน 3.4, 3.10 และ 3.14 ของเคอร์เนล Linux ที่ใช้ใน Android เราจะพูดถึงเรื่องนั้นต่อไปในหน้า ในระหว่างนี้นี่คือรายละเอียดของสิ่งที่คุณต้องรู้เกี่ยวกับโปรแกรมแก้ไขของเดือนนี้
ขณะนี้ภาพเฟิร์มแวร์ที่อัปเดตพร้อมใช้งานสำหรับอุปกรณ์ Nexus ที่สนับสนุนในปัจจุบันบนเว็บไซต์ Google Developer โครงการ Android Open Source มีการเปลี่ยนแปลงเหล่านี้ในสาขาที่เกี่ยวข้องตอนนี้และทุกอย่างจะเสร็จสมบูรณ์และทำข้อมูลให้ตรงกันภายใน 48 ชั่วโมง การอัพเดททางอากาศกำลังดำเนินการสำหรับโทรศัพท์และแท็บเล็ต Nexus ที่ได้รับการสนับสนุนในปัจจุบันและจะทำตามขั้นตอนการเปิดตัวมาตรฐานของ Google - อาจใช้เวลาหนึ่งหรือสองสัปดาห์เพื่อไปที่ Nexus ของคุณ พันธมิตรทั้งหมด - นั่นหมายถึงผู้ที่สร้างโทรศัพท์ของคุณโดยไม่คำนึงถึงแบรนด์ - มีสิทธิ์เข้าถึงการแก้ไขเหล่านี้ตั้งแต่วันที่ 16 มีนาคม 2016 และพวกเขาจะประกาศและแก้ไขอุปกรณ์ตามกำหนดเวลาของตนเอง
ปัญหาที่ร้ายแรงที่สุดที่แก้ไขคือช่องโหว่ที่อาจอนุญาตให้มีการเรียกใช้รหัสระยะไกลเมื่อประมวลผลไฟล์สื่อ ไฟล์เหล่านี้สามารถส่งไปยังโทรศัพท์ของคุณด้วยวิธีการใด ๆ - อีเมล, การท่องเว็บ MMS หรือการส่งข้อความทันที ปัญหาที่สำคัญอื่น ๆ ที่ได้รับการแก้ไขมีเฉพาะกับไคลเอ็นต์ DHCP, โมดูลประสิทธิภาพของ Qualcomm และไดรเวอร์ RF การหาช่องโหว่เหล่านี้อาจทำให้โค้ดรันได้อย่างถาวรซึ่งทำให้เฟิร์มแวร์ของอุปกรณ์บังคับให้ผู้ใช้จำเป็นต้องแฟลชระบบปฏิบัติการแบบเต็มรูปแบบอีกครั้งหาก "แพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดใช้งาน นั่นเป็นการรักษาความปลอดภัยที่พูดเพื่ออนุญาตให้แอพจากแหล่งที่ไม่รู้จักติดตั้งและ / หรืออนุญาตให้ปลดล็อค OEM
ช่องโหว่อื่น ๆ ที่ได้รับการแก้ไขยังรวมถึงวิธีการข้ามการป้องกันการตั้งค่าจากโรงงานปัญหาที่อาจถูกนำไปใช้เพื่ออนุญาตการปฏิเสธการโจมตีบริการและปัญหาที่ทำให้เกิดการเรียกใช้โค้ดในอุปกรณ์ที่มีรูท ผู้เชี่ยวชาญด้านไอทียินดีที่จะเห็นปัญหาเกี่ยวกับเมลและ ActiveSync ที่อาจทำให้สามารถเข้าถึงข้อมูล "ละเอียดอ่อน" ที่ได้รับการแก้ไขในการอัปเดตนี้
และเช่นเคย Google เตือนเราด้วยว่าไม่มีรายงานของผู้ใช้ที่ได้รับผลกระทบจากปัญหาเหล่านี้และพวกเขามีขั้นตอนที่แนะนำเพื่อช่วยป้องกันอุปกรณ์จากการตกเป็นเหยื่อของปัญหาเหล่านี้และในอนาคต:
- การเอารัดเอาเปรียบสำหรับปัญหาต่าง ๆ บน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android รุ่นใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดต Android เวอร์ชันล่าสุดเท่าที่จะทำได้
- ทีมรักษาความปลอดภัย Android กำลังตรวจสอบการละเมิดด้วยแอปพลิเคชั่น Verify และ SafetyNet ซึ่งจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตรายที่ตรวจพบว่าจะติดตั้ง ห้ามใช้เครื่องมือการรูทอุปกรณ์ใน Google Play เพื่อปกป้องผู้ใช้ที่ติดตั้งแอปพลิเคชันจากด้านนอกของ Google Play เปิดใช้งานตรวจสอบแอปโดยค่าเริ่มต้นและจะเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันการรูทที่รู้จัก ตรวจสอบว่าแอปพยายามระบุและบล็อกการติดตั้งแอปพลิเคชันที่เป็นอันตรายที่รู้จักซึ่งใช้ประโยชน์จากช่องโหว่การเลื่อนระดับสิทธิ์ หากแอพพลิเคชั่นดังกล่าวได้รับการติดตั้งแล้วแอพจะทำการแจ้งเตือนผู้ใช้และพยายามที่จะลบแอพพลิเคชั่นดังกล่าวออก
- ตามความเหมาะสมแอปพลิเคชันของ Google แฮงเอาท์และ Messenger จะไม่ส่งต่อสื่อไปยังกระบวนการเช่น mediaserver โดยอัตโนมัติ
เกี่ยวกับปัญหาที่กล่าวถึงในบูเลทีนก่อนหน้า
เมื่อวันที่ 18 มีนาคม 2559 Google ได้ออกบูเลทีนการรักษาความปลอดภัยเพิ่มเติมแยกต่างหากเกี่ยวกับปัญหาในเคอร์เนล Linux ที่ใช้กับโทรศัพท์และแท็บเล็ต Android จำนวนมาก มันแสดงให้เห็นว่าการใช้ประโยชน์ในรุ่น 3.4, 3.10 และ 3.14 ของเคอร์เนล Linux ที่ใช้ใน Android อนุญาตให้อุปกรณ์ถูกบุกรุกอย่างถาวร - ฝังรากในคำอื่น ๆ - และโทรศัพท์ที่ได้รับผลกระทบและอุปกรณ์อื่น ๆ จะต้องแฟลชอีกครั้งของระบบปฏิบัติการ กู้ เนื่องจากแอปพลิเคชันสามารถแสดงให้เห็นถึงการหาผลประโยชน์นี้ได้มีการออกประกาศกลางเดือน Google ยังกล่าวอีกว่าอุปกรณ์ Nexus จะได้รับการติดตั้ง "ภายในไม่กี่วัน" แพตช์นั้นไม่เคยปรากฏมาก่อนและ Google ไม่ได้กล่าวถึงเหตุผลในกระดานข่าวความปลอดภัยล่าสุด
ปัญหา - CVE-2015-1805 - ได้รับการติดตั้งอย่างสมบูรณ์ในการอัปเดตความปลอดภัย 2 เมษายน 2559 AOSP ได้ทำการแยกสาขาสำหรับ Android เวอร์ชัน 4.4.4, 5.0.2, 5.1.1, 6.0 และ 6.0.1 ได้รับการอัพเดทนี้แล้วและกำลังจะเปิดตัวสู่แหล่งที่มา
Google ยังกล่าวด้วยว่าอุปกรณ์ที่อาจได้รับการติดตั้งลงวันที่ 1 เมษายน 2559 นั้นยังไม่ได้รับการปะปนกับช่องโหว่นี้โดยเฉพาะและอุปกรณ์ Android ที่มีระดับการติดตั้งลงวันที่ 2 เมษายน 2559 หรือใหม่กว่านั้นเป็นปัจจุบัน
อัปเดตที่ส่งไปยัง Verizon Galaxy S6 และ Galaxy S6 edge เป็นวันที่ 2 เมษายน 2559 และมีการแก้ไขเหล่านี้
การอัปเดตที่ส่งไปยังขอบ T-Mobile Galaxy S7 และ Galaxy S7 นั้นลงวันที่ 2 เมษายน 2559 และมีการแก้ไขเหล่านี้
สร้าง AAE298 สำหรับปลดล็อค BlackBerry Priv โทรศัพท์วันที่ 2 เมษายน 2559 และมีการแก้ไขเหล่านี้ เผยแพร่ในช่วงปลายเดือนมีนาคม 2016
โทรศัพท์ที่ใช้เคอร์เนลรุ่น 3.18 ไม่ได้รับผลกระทบจากปัญหานี้โดยเฉพาะ แต่ยังต้องการแพตช์สำหรับปัญหาอื่น ๆ ที่ได้รับการแก้ไขในแพตช์ 2 เมษายน 2559
