Android获取适用于关键的openssl,媒体服务器和内核驱动程序漏洞的补丁
在Android的SSL加密库中为期五个月的缺陷是35个关键漏洞,Google修复了移动操作系统的3月安全补丁中。
所有修补的手机都是常见的,称为补丁级别2017-03-01的第一组补丁,并且包含36个漏洞的修复,其中11个额定额定和15个高。Android漏洞评级至关重要的是那些可以在特权进程或内核的上下文中剥削来执行恶意代码的漏洞,可能导致完整的设备妥协。
[进一步阅读:Android升级问题的答案是什么?]其中一个修补的漏洞位于OpenSSL加密库中,并影响了Google“的较新的BoringsSL库,该库基于OpenSSL。有趣的是,被确定为CVE-2016-2182的缺陷在九月举行了openssl。它可以通过强制库来从不受信任的来源处理过度大的证书或证书撤销列表来利用。
目前尚不清楚为什么谷歌已经等了近六个月来解决Android的这种漏洞。OpenSSL开发人员将漏洞评为低严重程度,并在其咨询中注明,它不会影响TLS连接,因为“记录限制将在解析之前拒绝超大证书”。
同时,谷歌将漏洞的漏洞表示至关重要,并表示使用特制文件的攻击者可以在文件和数据处理期间导致内存损坏,并在特权进程的上下文中执行恶意代码。
在MediaServer中修补了九个关键漏洞,该Android组件负责处理过去两年的许多缺陷源的媒体文件。这些漏洞可能会远程利用。
最后,在恢复验证程序组件中修复了一个关键漏洞。这可以在本地利用以提升一个“一个特权并在内核内执行任意代码,导致永久性设备妥协。
由于它自7月以来,谷歌已将其每月Android修复分为由不同安全补丁级别标识的两个单独批次。这些级别在“关于电话”下的Android设置中表示为日期字符串,并指示固件包含此日期的所有Android安全修补程序。
修复电话在修补程序级别中取决于它运行的Android版本。一些最新的修复程序包括为OpenSSL,包括运行Android的手机,如4.4.4(Kitkat);其他人仅适用于Android 7.1.1,最新的Nougat调整。
将安全性更新分成不同补丁级别的原因是区分所有手机通用的Android软件组件中的漏洞,而那些只影响芯片组制造商提供自定义驱动程序的某些硬件组件的电话。
2017-03-05三月的第二个补丁级别涵盖了来自Mediatek,Nvidia,Broadcom和Qualcomm的驱动程序和组件中的24个关键漏洞,以及各种内核子系统。此外,这种补丁级别修复了32个高额定漏洞,14个中等漏洞和一个低风险的漏洞。
只有包含易受攻击的驱动程序的手机需要应用这些补丁,因此并非所有设备都将最终与2017-03-05补丁级别最终。