Google hat gab die Details frei rund um den Sicherheitspatch für Android vom 2. April, der die vor einigen Wochen in einem Bulletin beschriebenen Probleme sowie eine Reihe von kritischen und moderaten Problemen vollständig mildert. Dieser unterscheidet sich ein wenig von früheren Bulletins, wobei der Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen in den Versionen 3.4, 3.10 und 3.14 des in Android verwendeten Linux-Kernels besondere Aufmerksamkeit geschenkt wird. Wir werden das weiter unten auf der Seite besprechen. In der Zwischenzeit finden Sie hier eine Aufschlüsselung der Informationen, die Sie über den Patch dieses Monats benötigen.
Aktualisierte Firmware-Images sind jetzt für derzeit unterstützte Nexus-Geräte auf dem verfügbar Google Developer-Website. Im Android Open Source-Projekt werden diese Änderungen jetzt in den entsprechenden Filialen eingeführt, und alles wird innerhalb von 48 Stunden abgeschlossen und synchronisiert. Over-the-Air-Updates für derzeit unterstützte Nexus-Telefone und -Tablets werden derzeit durchgeführt und folgen dem Standard-Rollout-Verfahren von Google. Es kann ein bis zwei Wochen dauern, bis Ihr Nexus verfügbar ist. Alle Partner - das heißt, die Personen, die Ihr Telefon gebaut haben, unabhängig von der Marke - hatten Zugriff darauf Diese Korrekturen werden ab dem 16. März 2016 durchgeführt und Geräte werden auf eigene Faust angekündigt und gepatcht Zeitpläne.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Das schwerwiegendste Problem ist eine Sicherheitsanfälligkeit, die die Ausführung von Remotecode bei der Verarbeitung von Mediendateien ermöglichen kann. Diese Dateien können auf beliebige Weise an Ihr Telefon gesendet werden - per E-Mail, MMS zum Surfen im Internet oder Instant Messaging. Andere kritische Probleme, die behoben wurden, betreffen den DHCP-Client, das Leistungsmodul von Qualcomm und den RF-Treiber. Diese Exploits könnten die Ausführung von Code ermöglichen, der die Gerätefirmware dauerhaft gefährdet und den Endbenutzer dazu zwingt, das gesamte Betriebssystem neu zu flashen - wenn "Plattform" und Service-Minderungen sind für Entwicklungsvorschläge deaktiviert. "Das ist ein Sicherheits-Nerd, der dafür spricht, dass Apps aus unbekannten Quellen installiert werden und / oder OEMs zugelassen werden entsperren.
Andere gepatchte Schwachstellen umfassen auch Methoden zum Umgehen des Factory Reset Protection, Probleme, die auftreten können ausgenutzt werden, um Denial-of-Service-Angriffe und Probleme zu ermöglichen, die die Codeausführung auf Geräten mit ermöglichen Wurzel. IT-Experten werden sich auch über E-Mail- und ActiveSync-Probleme freuen, die den Zugriff auf "vertrauliche" Informationen ermöglichen könnten, die in diesem Update gepatcht wurden.
Wie immer erinnert uns Google auch daran, dass keine Berichte über Nutzer vorliegen, die von diesen Problemen betroffen sind. und sie haben ein empfohlenes Verfahren, um zu verhindern, dass Geräte diesen und zukünftigen zum Opfer fallen Probleme:
- Das Ausnutzen vieler Probleme unter Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Version von Android zu aktualisieren.
- Das Android-Sicherheitsteam überwacht mit Verify Apps und SafetyNet aktiv auf Missbrauch, um den Benutzer vor erkannten potenziell schädlichen Anwendungen zu warnen, die installiert werden sollen. Geräte-Rooting-Tools sind in Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist "Apps überprüfen" standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Überprüfen Sie, ob Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Gegebenenfalls übergeben Google Hangouts- und Messenger-Anwendungen Medien nicht automatisch an Prozesse wie den Medienserver.
In Bezug auf Probleme, die im vorherigen Bulletin erwähnt wurden
Am 18. März 2016 veröffentlichte Google ein separates zusätzliches Sicherheitsbulletin zu Problemen im Linux-Kernel, die auf vielen Android-Handys und -Tablets verwendet werden. Es wurde gezeigt, dass ein Exploit in den Versionen 3.4, 3.10 und 3.14 des in Android verwendeten Linux-Kernels Geräte dauerhaft ermöglichte Kompromittierte - mit anderen Worten verwurzelte - und betroffene Telefone und andere Geräte würden ein erneutes Flashen des Betriebssystems erfordern, um wiederhergestellt zu werden. Da eine Anwendung diesen Exploit demonstrieren konnte, wurde ein Bulletin zur Monatsmitte veröffentlicht. Google erwähnte auch, dass Nexus-Geräte "innerhalb weniger Tage" einen Patch erhalten würden. Dieser Patch wurde nie veröffentlicht, und Google erwähnt im neuesten Security Bulletin nicht, warum.
Das Problem - CVE-2015-1805 - wurde im Sicherheitsupdate vom 2. April 2016 vollständig behoben. AOSP-Zweige für Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1 haben diesen Patch erhalten, und der Rollout zur Quelle wird ausgeführt.
Google erwähnt auch, dass Geräte, die möglicherweise einen Patch vom 1. April 2016 erhalten haben, nicht gepatcht wurden gegen diesen speziellen Exploit, und nur Android-Geräte mit einem Patch-Level vom 2. April 2016 oder höher sind aktuell.
Das an Verizon Galaxy S6 und Galaxy S6 Edge gesendete Update ist vom 2. April 2016 und vom 2. April 2016 tut enthalten diese Korrekturen.
Das Update wurde an die gesendet T-Mobile Galaxy S7 und Galaxy S7 Edge ist vom 2. April 2016 und tut enthalten diese Korrekturen.
Build AAE298 für entsperrte BlackBerry Priv-Telefone ist vom 2. April 2016 und tut enthalten diese Korrekturen. Es wurde Ende März 2016 veröffentlicht.
Telefone mit einer Kernel-Version 3.18 sind von diesem speziellen Problem nicht betroffen, erfordern jedoch weiterhin die Patches für andere Probleme, die im Patch vom 2. April 2016 behoben wurden.
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Sichern Sie Ihr Zuhause mit diesen SmartThings Türklingeln und Schlössern.
Eines der besten Dinge an SmartThings ist, dass Sie eine Reihe anderer Geräte von Drittanbietern auf Ihrem System verwenden können, einschließlich Türklingeln und Schlössern. Da sie alle im Wesentlichen dieselbe SmartThings-Unterstützung haben, haben wir uns darauf konzentriert, welche Geräte die besten Spezifikationen und Tricks haben, um das Hinzufügen zu Ihrem SmartThings-Arsenal zu rechtfertigen.