جدول المحتويات:
أصدرت Google التفاصيل المتعلقة بتصحيح الأمان في 2 أبريل لنظام Android ، مما أدى إلى تخفيف المشكلات الموضحة في نشرة ما قبل عدة أسابيع بالإضافة إلى عدد كبير من المشكلات الخطيرة أو المعتدلة. يختلف هذا الإصدار قليلاً عن النشرات السابقة ، مع إيلاء اهتمام خاص لضعف تصاعد الامتياز في الإصدارات 3.4 و 3.10 و 3.14 من Linux kernel المستخدم في Android. سنناقش ذلك في أسفل الصفحة. في هذه الأثناء ، إليك تفاصيل ما تحتاج إلى معرفته حول تصحيح هذا الشهر.
تتوفر الآن صور محدثة للبرامج الثابتة لأجهزة Nexus المدعومة حاليًا على موقع Google Developer. يتضمن مشروع Android Open Source Project هذه التغييرات في الفروع ذات الصلة الآن ، وسيتم استكمال كل شيء ومزامنته خلال 48 ساعة. هناك تحديثات جارية على الهواء بالنسبة للهواتف والأجهزة اللوحية المدعومة حاليًا من Nexus ، وستتبع إجراء بدء تشغيل Google القياسي - قد يستغرق الأمر أسبوعًا أو أسبوعين للوصول إلى Nexus. جميع الشركاء - وهذا يعني أن الأشخاص الذين قاموا ببناء هاتفك ، بغض النظر عن العلامة التجارية - تمكنوا من الوصول إلى هذه الإصلاحات اعتبارًا من 16 مارس 2016 ، وسيعلنون عن الأجهزة وتصحيحها وفقًا لجداولهم الفردية.
المشكلة الأكثر حدة التي يتم تناولها هي مشكلة عدم الحصانة التي قد تسمح بتنفيذ التعليمات البرمجية عن بُعد عند معالجة ملفات الوسائط. يمكن إرسال هذه الملفات إلى هاتفك بأي وسيلة - البريد الإلكتروني أو تصفح الويب MMS أو الرسائل الفورية. المشكلات الحرجة الأخرى التي تم تصحيحها خاصة بعميل DHCP ووحدة أداء Qualcomm's وبرنامج تشغيل RF. قد تسمح عمليات الاستغلال هذه بتشغيل تعليمات برمجية تؤدي إلى تعريض البرامج الثابتة للجهاز إلى الأبد ، مما يضطر المستخدم النهائي إلى إعادة تشغيل نظام التشغيل الكامل - إذا تم تعطيل "تخفيف النظام الأساسي والخدمة للتطوير". هذا هو يتحدث عن الطالب الذي يذاكر كثيرا عن الأمان للسماح بتثبيت التطبيقات من مصادر غير معروفة و / أو السماح بإلغاء قفل OEM.
تتضمن نقاط الضعف الأخرى التي تم تصحيحها أيضًا أساليب لتجاوز حماية إعادة ضبط المصنع ، والمشكلات التي يمكن استغلالها للسماح بهجمات رفض الخدمة ، والمشكلات التي تسمح بتنفيذ التعليمات البرمجية على الأجهزة ذات الجذر. سيسعد متخصصو تكنولوجيا المعلومات أيضًا بمشكلات البريد و ActiveSync التي قد تسمح بالوصول إلى المعلومات "الحساسة" التي تم تصحيحها في هذا التحديث.
كما هو الحال دائمًا ، تذكرنا Google أيضًا بعدم وجود تقارير عن تأثر المستخدمين بهذه المشكلات ، ولديهم إجراء موصى به للمساعدة في منع الأجهزة من الوقوع ضحية لهذه المشاكل والمستقبلية:
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يراقب فريق Android Security بنشاط سوء الاستخدام من خلال Verify Apps و SafetyNet ، مما سيحذر المستخدم من اكتشاف التطبيقات الضارة المحتملة على وشك أن يتم تثبيتها. أدوات تجذير الجهاز محظورة داخل Google Play. لحماية المستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play ، يتم تمكين Verify Apps افتراضيًا وسيحذر المستخدمين من تطبيقات root المعروفة. تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصاعد الامتيازات. إذا كان هذا التطبيق قد تم تثبيته بالفعل ، فسيقوم Verify Apps بإشعار المستخدم ومحاولة إزالة أي من هذه التطبيقات.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل mediaserver.
فيما يتعلق بالقضايا المذكورة في النشرة السابقة
في 18 مارس 2016 ، أصدرت Google نشرة أمان تكميلية منفصلة عن المشكلات في Linux kernel المستخدمة في العديد من هواتف Android والأجهزة اللوحية. لقد تم إثبات أن استغلال الإصدارات 3.4 و 3.10 و 3.14 من Linux kernel المستخدم في Android يسمح بالتعرض للأذى الدائم - جذر ، وبعبارة أخرى - والهواتف المتأثرة والأجهزة الأخرى تتطلب إعادة فلاش لنظام التشغيل ل استعادة. نظرًا لأن التطبيق كان قادرًا على إظهار هذا الاستغلال ، تم إصدار نشرة منتصف الشهر. ذكرت Google أيضًا أن أجهزة Nexus ستتلقى تصحيحًا "خلال بضعة أيام". لم يتحقق هذا التصحيح أبدًا ، ولم تذكر Google السبب في نشرة الأمن الأخيرة.
تم تصحيح المشكلة - CVE-2015-1805 - بالكامل في تحديث الأمان بتاريخ 2 أبريل 2016. تلقت فروع AOSP لإصدارات Android 4.4.4 و 5.0.2 و 5.1.1 و 6.0 و 6.0.1 هذا التصحيح ، كما أن الإصدار التجريبي للمصدر قيد التقدم.
تشير Google أيضًا إلى أن الأجهزة التي ربما تلقت تصحيحًا بتاريخ 1 أبريل 2016 لم يتم تصحيحها ضد هذا الاستغلال المحدد ، وأن أجهزة Android فقط التي لديها مستوى تصحيح بتاريخ 2 أبريل 2016 أو أحدث حالية.
يرجع تاريخ التحديث الذي تم إرساله إلى Verizon Galaxy S6 و Galaxy S6 edge إلى 2 أبريل 2016 ويحتوي على هذه الإصلاحات.
يرجع تاريخ التحديث الذي تم إرساله إلى T-Mobile Galaxy S7 و Galaxy S7 edge إلى 2 أبريل 2016 ويحتوي على هذه الإصلاحات.
تم إنشاء AAE298 لهواتف BlackBerry Priv غير المؤرخة بتاريخ 2 أبريل 2016 ، وهي تحتوي على هذه الإصلاحات. تم إصداره في أواخر مارس 2016.
لا تتأثر الهواتف التي تعمل بإصدار 3.18 kernel بهذه المشكلة ، ولكنها لا تزال تتطلب تصحيحات المشكلات الأخرى التي تم تناولها في تصحيح 2 أبريل 2016.
