谷歌的媒体服器错误在Android的在旁边等核心部件如Wi-Fi,视频内核驱动程序和蓝牙等缺陷。
因为该公司在八个月前开始每月更新过程, 随着修复Android中39个漏洞,四月的Nexus安全公告是谷歌更新最大的安全漏洞。
谷歌固定15个漏洞评为关键,16个评为高,和八个温和的最新月报,在26个不同的组件,包括DHCPCD Mediaserver,蓝牙,交换ActiveSync、wi - fi、电话,媒体编解码器、视频内核驱动程序,和Debuggerd。更新3月18日外还包括紧急补丁修复本地Android内核的特权升级缺陷。
Android是现在可以在企业中实际使用阅读InfoWorld解,如何使Android业务的严重一部分深入指南,获得最佳的办公应用程序的Android设备。
该特权提升漏洞最初是在修补2014年在Linux内核中,研究人员讲述,今年Android设备早些时候影响了同样的bug(CVE-二○一五年至1805年)。 Zimperium研究人员报告说能够利用该漏洞来根Nexus 5设备的应用程序是在三月之外使用,促使谷歌发布的紧急补丁。当时,谷歌表示,攻击者可能滥用的漏洞来获得内核版本3.4,3.10,3.14和Android设备上的root权限。 Nexus 5和6的设备很容易受攻击。
在Android中也阻止安装谷歌从外部应用程序的验证应用的功能发挥这一企图利用该漏洞,使其更难攻击者滥用。
2016年与4月2日,安全修补程序级别的设备,还是后来有两个紧急补丁和最新的每月更新。支持的Nexus设备将直接从谷歌收到中更新,但其他Android设备将不得不等待运营商和手机制造商发布更新。
媒体服务器仍然是最头痛
正如预期的那样,谷歌再次打补丁的关键媒体服务器和libstagefright- SEVEN严重漏洞,并在这个过程本身5个高严重的错误,以及在库中的一个严重的安全漏洞。在媒体服务器和libstagefright问题首先出现在去年夏季灯带Stagefright,从那时起,进出的谷歌安全研究人员都集中在两个组件发现和壁球等错误。这些安全问题是“tangential”到原来的Stagefright漏洞,因为他们在同一个组件存在,但是不同的关注,趋势科技全球性威胁的通信经理Christopher巴德今年早些时候表示。
媒体服务器是一个特别有吸引力的目标,因为它可以通过多种方式,包括远程内容,如MMS文件和媒体文件浏览器播放的攻击。该服务可以访问音频和视频流,以及第三方应用程序无法正常触碰特权。如果攻击成功,攻击者可能会导致内存破坏并远程使用提供给媒体伺服器进程权限执行代码。
“最严重的这些问题是一个关键的安全漏洞处理媒体文件时,将启用远程执行代码受影响的设备上通过多种方式,如电子邮件,Web浏览和彩信,”谷歌在其公告中说到,谷歌还修补了媒体编解码器的关键远程执行代码漏洞。
在核心操作系统漏洞
随着媒体服务器和相关组件,谷歌固定在动态主机配置协议(DHCP)服务和特权漏洞在内核中的一个关键海拔关键远程执行代码漏洞。该DHCP缺陷会让攻击者导致内存损坏和远程执行代码作为DHCP客户端。就像媒体伺服器,DHCP服务可以访问通常不提供给第三方应用程序的权限。至于内核漏洞,本地恶意的应用程序可以执行任意代码,并永久损害设备。恢复设备的唯一方法是用来刷新操作系统。
最后的关键漏洞都存在两个高通部分组成:高通性能模块和高通RF驱动器。升级-的特权两个漏洞会让恶意应用程序利用高通的组件在内核中执行任意代码,导致永久设备妥协。
在德州仪器触觉内核驱动程序中的提升特权的漏洞可能允许恶意应用程序内核的上下文中执行任意代码。通常情况下,这种错误会被认为危险,但谷歌指出,攻击者首先必须妥协,可以调用驱动程序的服务。
大多数评为严重性问题是仰角的特权缺陷,其中大部分可能会被滥用,以获得特殊权限,如签名或SignatureOrSystem,它们通常不提供给第三方应用。在IMemory本地接口,电信组件,下载管理器,恢复的过程,系统服务器这些漏洞可能会被滥用作为一个多进程的一部分。
支离破碎的Android
虽然理想的情况是能够尽快为他们发布更新所有最新的安全修补程序的Android设备,谷歌之间的依赖关系的错落有致,基于Android的分布的无线运营商,设备制造商和维护者意味着显著号设备不接收定期更新。但也许可以被视为安全的优势,而不是一个安全漏洞。
在新加坡最近的黑帽亚洲大会上,迪诺戴Zovi在移动支付公司Square安全领导表示,零散生态系统为Android用户提供了未打补丁的设备更安全,因为攻击者必须自定义他们的每一个设备型号和操作系统版本的攻击。安全程序,如验证应用和谷歌播放进行后台扫描,以及在Android的棒棒糖和棉花糖的新功能,使用户更难误加载恶意应用程序。
`“其实受感染设备的数量超过了低,”戴Zovi说的。
安全漏洞需要修补,并且必须有一个更好的办法,让Android设备定期接收最新消息。但是,只要开发战功每个Android的置换成本居高不下,新的漏洞不会导致天空落下的未打补丁的群众。
