Het maandelijkse updatesysteem van Google blijft belangrijke oplossingen bieden voor kwetsbaarheden waarvan veel mensen zich niet bewust zijn dat het ooit bestond in Android, en de maartlijst bevat 19 problemen in het hele besturingssysteem. Deze updates hebben de classificatie Gemiddeld, Hoog of Kritiek in hun ernst en geven samen met de update die is uitgebracht om deze problemen aan te pakken een gedetailleerde uitleg over wat er wordt opgelost. Zoals vaak het geval is bij deze maandelijkse updates, komen bijdragen van over de hele wereld en van de interne beveiligingsteams van Google om ervoor te zorgen dat Android altijd beter wordt.
Dit is wat u moet weten over de oplossingen die beschikbaar worden gesteld in Beveiligingsniveau 01 maart 2016, en wanneer uw telefoon of tablet de update ontvangt.
De update van maart voor Android behandelt zes kritieke problemen, acht hoge problemen en twee gematigde problemen. Deze omvatten beveiligingslekken met betrekking tot misbruik van bevoegdheden, kwetsbaarheden voor uitvoering van externe code, kwetsbaarheden op afstand van denial of service en beperkende bypass-kwetsbaarheden in het hele besturingssysteem. De meest significante van deze problemen, volgens Google, was een externe kwetsbaarheid van code-uitvoering gevonden in Mediaserver en libvpx. Door deze problemen kan een derde partij MMS-media of browserafspeelmedia gebruiken om code op uw telefoon of tablet uit te voeren door middel van een speciaal vervaardigd bestand dat zich kwaadaardig gedraagt in plaats van alleen media af te spelen. Google heeft oplossingen helemaal terug naar Android 4.4.4 uitgebracht om deze problemen aan te pakken.
Zoals vaak het geval is bij deze updates, beweert Google dat er geen aanwijzingen zijn voor actieve aanvallen met behulp van deze kwetsbaarheden.
Het verhogen van kwetsbaarheden in privileges in MediaTek-stuurprogramma's en de prestatiecomponenten van Qualcomm is ook behandeld in deze update, evenals in Mediaserver en Keyring. Indien misbruikt, hadden deze kwetsbaarheden het mogelijk gemaakt om toegang te krijgen tot meer dan de app toestemming had gekregen om toegang te krijgen. Hetzelfde geldt voor kwetsbaarheden bij het vrijgeven van informatie in telefonie, libstagefright, WideVine en de Android-kernel, alleen in plaats van toegang tot meer van de systeemfuncties had een kwaadwillende app toegang kunnen krijgen tot meer van uw informatie dan u toestemming had gegeven.
Zoals vaak het geval is bij deze updates, beweert Google dat er geen aanwijzingen zijn voor actieve aanvallen met behulp van deze kwetsbaarheden. Afbeeldingen voor Nexus-telefoons en -tablets met deze update van maart zijn nu beschikbaar op de Google Developers-site, waarbij Over-The-Air-updates binnen de week worden verwacht. Google heeft deze updates ten minste 30 dagen geleden aan al hun Android-partners verstrekt en de bedrijven die zich hebben gecommitteerd om beveiligingsupdates zo snel mogelijk te leveren - zoals BlackBerry dat de update van maart al op de Priv verzendt - zullen hun updateplannen in detail beschrijven zo snel als ze kunnen.
