谷歌修复了100多个缺陷的Android,很多芯片组驱动程序
Google于周三发布了一批新的Android补丁,在Android的自己的组件和不同制造商的芯片组特定司机中修复了100多个缺陷。
Android“S MediaServer组件,处理视频和音频流的处理,并且过去一直是许多漏洞的来源,是此安全更新的最前沿。它占16个Android漏洞,包括7个关键漏洞,可以允许攻击者以更高权限执行代码。
可以通过将专为您的浏览器,电子邮件或消息传递应用程序发送专为您的用户“设备来利用该错误。由于重复的MediaServer漏洞,Google Hoogouts和默认的Android Messenter应用程序将自动将媒体传递给此组件。
在OpenSSL和Boringsl Crypto库中修复了另一个关键漏洞,该库与Android OS捆绑在一起。此缺陷也可以通过特制文件利用,以在受影响进程的上下文中执行代码。
本月的安全公告被分为两个部分:一个带有适用于所有Android设备的修补程序,以及一个包含仅包含受影响芯片组驱动程序的设备的修补程序。
电话制造商将可以选择将手机升级到两个补丁级别之一:2016-07-01,其中包括设备 - 不可知的修复器,以及2016-07-05,包括2016-07-01修复程序加上设备特定于设备。
作为日期字符串的补丁级别显示在“关于手机”下的Android“S设置中”,并指示固件包含此日期的所有Android安全修补程序。它只存在于较新版本的Android中。
2016-07-01修补程序级别包括32个漏洞的修复:8额定批评,高严重程度和9个中等。
2016-07-05安全补丁级别包括用于WhoOping 75漏洞的其他修复,标记为特定于设备。这些漏洞的十二个是至关重要的,位于高度特权的组件中,如Qualcomm GPU驱动程序,Mediatek Wi-Fi驱动程序,高通性能组件,NVIDIA视频驱动程序,内核文件系统,USB驱动程序和其他未指定的UNIEDIEDK司机。
由于这些驱动程序在内核内部加载,因此操作系统最特权的区域,漏洞可能导致永久性设备妥协,只能通过重新刷新固件来修复。
其他大部分54个高度严重性缺陷也在各种芯片组驱动程序中,也可以导致完整的设备妥协。不同之处在于攻击者需要访问特权进程以便利用它们。
像往常一样,Google发布了所有支持的Nexus设备的固件更新,并在接下来的48小时内将修补程序释放到Android开源项目(AOSP)。谷歌合作伙伴的制造商和运营商被告知了6月6日或更早的本公告中包含的补丁。