Android是越来越安全修复程序超过100个漏洞,包括在媒体29个危急缺陷处理服务器,硬件专用的驱动程序和其他组件。
Android的月度安全公告,周一公布,被分裂成被表示为Android设备的“关于”页面上的日期字符串两个“补丁级别”。
在2017年5月1日安全补丁级别井盖修复程序,该通用于所有的Android设备,而2017年5月5日的水平涵盖了硬件驱动程序和内核组件仅存在一些设备中的其他修复漏洞。
这个月的更新补丁在媒体伺服器六项紧急漏洞,一个Android组件,图像和视频文件的句柄的处理。这部分一直是众多缺陷的根源,在过去的几年中,是在每月的Android安全公告有规律的存在。
该媒体伺服器的缺陷可以通过诱骗用户下载他们的设备上特制的媒体文件被利用,或者通过电子邮件或其他一些消息应用程序共享这些文件。它甚至不需要用户打开该文件,因为它在文件系统上仅仅存在会导致媒体伺服器来处理它。
通过利用这样的缺陷,攻击者可以实现远程执行在媒体伺服器过程中,相比于常规的应用程序,其具有特殊的权限的情况下的代码。在某些设备上它甚至可以导致所有数据的完整的妥协。
Mediaserver漏洞理论上可以exploited through multimedia messages (MMS), which is why Google has disabled the automated display of such messages in the default Android text messaging app and Google Hangouts. However, third-party applications might still be exposed to this attack vector.
除了补丁六个严重漏洞,在2017年5月1日补丁级别还包括八个高危漏洞,五层中等程度的缺陷和低程度的问题修复。其中的一些漏洞也位于媒体伺服器组件。
在Android基于文件的加密实现另一个有趣的漏洞可能允许攻击绕过锁屏。如果不打补丁,这个中等风险漏洞可以允许具有物理访问受保护的设备,以从中提取数据窃贼或执法机构。
在2017年5月5日安全补丁还包含针对的有关媒体处理的一个远程利用的漏洞的修复程序。该漏洞位于GIFLIB,这是由OS使用的读取和写入GIF格式的图片库。
该GIFLIB漏洞被评为关键,但将其列入第二补丁级别表明,它可能不会影响所有设备。
Other critical vulnerabilities covered by this patch level are located in the MediaTek touchscreen driver, the Qualcomm and Motorola bootloaders, the NVIDIA video driver, the Qualcomm power driver, the kernel sound and trace subsystems and various other Qualcomm components.
这些漏洞可能会被恶意程序利用来执行内核内任意代码 - 操作系统最优越的区域 - 导致设备的完整和永久的妥协。从这样的攻击中恢复,需要重新刷新受影响的设备上的固件。
许多高和中等程度的漏洞被固定在其它硬件组件和内核子系统。对于其中的一些,该修补程序是唯一包含在芯片制造商与设备制造商分享,不向公众公开的二进制文件。
In fact, some of flaws included in this bulletin were already covered by patches released by chipset vendors over the past few years. However, Google decided to include them in its own bulletins now in order to associate their fixes with an Android security patch level.
Google only releases firmware updates for its supported Nexus and Pixel devices and then makes the relevant patches available to the Android Open Source Project (AOSP) -- the code that serves as a base for the firmware produced by device makers. Users should look for firmware updates for their specific devices from their manufacturers.