Inhoudsopgave:
Google heeft de details vrijgegeven met betrekking tot de beveiligingspatch van 2 april voor Android, waarbij de problemen die enkele weken geleden in een bulletin zijn beschreven, evenals een aantal of andere kritieke en matige problemen volledig zijn opgelost. Deze verschilt enigszins van eerdere bulletins, met speciale aandacht voor een kwetsbaarheid voor escalatie van privileges in versies 3.4, 3.10 en 3.14 van de Linux-kernel die wordt gebruikt in Android. We zullen dat verderop op de pagina bespreken. In de tussentijd volgt hier een overzicht van wat u moet weten over de patch van deze maand.
Bijgewerkte firmware-images zijn nu beschikbaar voor momenteel ondersteunde Nexus-apparaten op de Google Developer-site. In het Android Open Source Project worden deze wijzigingen nu uitgerold naar de relevante vestigingen en alles is binnen 48 uur voltooid en gesynchroniseerd. Over-the-air-updates worden uitgevoerd voor momenteel ondersteunde Nexus-telefoons en -tablets en zullen de standaard Google-uitrolprocedure volgen - het kan een week of twee duren om bij uw Nexus te komen. Alle partners - dat wil zeggen de mensen die uw telefoon hebben gebouwd, ongeacht het merk - hebben vanaf 16 maart 2016 toegang tot deze fixes en zullen apparaten aankondigen en patchen volgens hun eigen schema's.
Het ernstigste probleem dat wordt aangepakt, is een beveiligingslek waardoor externe code kan worden uitgevoerd bij het verwerken van mediabestanden. Deze bestanden kunnen op elke manier naar uw telefoon worden verzonden - e-mail, internetten via MMS of instant messaging. Andere gepatchte problemen zijn specifiek voor de DHCP-client, de prestatiemodule van Qualcomm en het RF-stuurprogramma. Door deze exploits kan code worden uitgevoerd die de apparaatfirmware permanent in gevaar brengt, waardoor de eindgebruiker het volledige besturingssysteem opnieuw moet flashen - als "platform- en servicebeperking zijn uitgeschakeld voor ontwikkeling". Dat is security-nerd om apps van onbekende bronnen te installeren en / of OEM-ontgrendeling toe te staan.
Andere gepatchte kwetsbaarheden omvatten ook methoden om Factory Reset Protection te omzeilen, problemen die kunnen worden misbruikt om denial of service-aanvallen mogelijk te maken en problemen die code-uitvoering op apparaten met root toestaan. IT-professionals zullen blij zijn om ook e-mail- en ActiveSync-problemen te zien die toegang kunnen geven tot "gevoelige" informatie die in deze update is gepatcht.
Zoals altijd herinnert Google ons er ook aan dat er geen meldingen zijn dat gebruikers door deze problemen worden getroffen, en hebben ze een aanbevolen procedure om te voorkomen dat apparaten het slachtoffer worden van deze en toekomstige problemen:
- Exploitatie voor veel problemen op Android wordt bemoeilijkt door verbeteringen in nieuwere versies van het Android-platform. We moedigen alle gebruikers aan om waar mogelijk bij te werken naar de nieuwste versie van Android.
- Het Android Security-team controleert actief op misbruik met Verify Apps en SafetyNet, dat de gebruiker waarschuwt voor gedetecteerde potentieel schadelijke applicaties die binnenkort worden geïnstalleerd. Hulpmiddelen voor het rooten van apparaten zijn verboden binnen Google Play. Om gebruikers te beschermen die applicaties installeren van buiten Google Play, is Verify Apps standaard ingeschakeld en waarschuwt gebruikers voor bekende rooting-applicaties. Verify Apps probeert de installatie van bekende kwaadaardige applicaties te identificeren en te blokkeren die misbruik maken van een kwetsbaarheid voor escalatie van bevoegdheden. Als een dergelijke applicatie al is geïnstalleerd, zal Verify Apps de gebruiker op de hoogte stellen en proberen dergelijke applicaties te verwijderen.
- Waar van toepassing geven Google Hangouts- en Messenger-applicaties media niet automatisch door aan processen zoals mediaserver.
Betreffende problemen genoemd in het vorige bulletin
Op 18 maart 2016 heeft Google een afzonderlijk aanvullend beveiligingsbulletin uitgegeven over problemen in de Linux-kernel die op veel Android-telefoons en -tablets worden gebruikt. Er werd aangetoond dat een exploit in versies 3.4, 3.10 en 3.14 van de Linux-kernel die in Android wordt gebruikt, toestaat dat apparaten permanent in gevaar worden gebracht - met andere woorden geroot - en getroffen telefoons en andere apparaten een herflits van het besturingssysteem vereisen om herstellen. Omdat een toepassing deze exploit kon aantonen, werd er een halfjaarlijks bulletin uitgebracht. Google vermeldde ook dat Nexus-apparaten een patch 'binnen enkele dagen' zouden ontvangen. Die patch is nooit uitgekomen en Google maakt in het laatste beveiligingsbulletin niet waarom.
Het probleem - CVE-2015-1805 - is volledig hersteld in de beveiligingsupdate van 2 april 2016. AOSP-vestigingen voor Android-versies 4.4.4, 5.0.2, 5.1.1, 6.0 en 6.0.1 hebben deze patch ontvangen en de uitrol naar de bron is bezig.
Google vermeldt ook dat apparaten die mogelijk een patch hebben ontvangen van 1 april 2016 niet zijn gepatcht met deze specifieke exploit en alleen Android-apparaten met een patchniveau van 2 april 2016 of later zijn actueel.
De update die is verzonden naar de Verizon Galaxy S6 en Galaxy S6 edge is van 2 april 2016 en bevat deze fixes.
De update die naar de T-Mobile Galaxy S7 en Galaxy S7 edge is verzonden, is gedateerd 2 april 2016 en bevat deze fixes.
Build AAE298 voor ontgrendelde BlackBerry Priv-telefoons is gedateerd 2 april 2016 en bevat deze fixes. Het werd uitgebracht eind maart 2016.
Telefoons met een 3.18-kernelversie worden niet beïnvloed door dit specifieke probleem, maar vereisen nog steeds de patches voor andere problemen die worden behandeld in de patch van 2 april 2016.
