查看原文
其他

4月Android安全更新:谷歌修复11个漏洞

小雪 看雪学院 2019-05-25


虽然很多人仍然沉浸在愚人节的整蛊乐趣中,但有些事情是需要认真对待的。在愚人节当天,Google面向包括自家Pixel系列在内的Android手机发布了2019年4月安全补丁,修补了包括2项远端程式码执行(remote code execution, RCE)等在内11项高风险与重大漏洞。



Google 4月1日发布的安全修补程式中,CVE-2019-2027及 CVE-2019-2028的漏洞位于Android 媒体框架(Media framework),可让攻击者传送变造过的档案,进而在有权限情况下从远端执行任意程式码,被Google 研究人员列为重大风险等级。


Google团队另外还修补了9项高(High)风险漏洞,包括6项权限升级(elevation of privilege)漏洞。其中CVE-2019-2026位于Android框架,其他5项(CVE-2019-2030、CVE-2019-2031、CVE-2019-2033、CVE-2019-2034及CVE-2019-2035)位于作业系统中,可在让装置端的攻击者不需使用者互动而取得更高权限。此外作业系统核心还包括3项可导致资讯泄露的漏洞:CVE-2019-2038、CVE-2019-2039、CVE-2019-2040,皆被列为高风险。


除了少数漏洞外,大部份漏洞影响包括Android 7.0(7.1.1、7.1.2)、8.0/ 8.1及9等版本。所幸Google表示尚未接获有开採或滥用上述漏洞的受害通报。


主要Android厂商已在至少一个月前就获得通报,包括Google Pixel和Nexus装置、Samsung、Sony、LG、HTC、Nokia等品牌手机用户,理应近日会接到更新通知,Google也会在48小时内,将修补程式释出给Android开源码专案(Android Open Source Project, AOSP)资料库。


此外,Google预计在4月5日发布第二波安全修补程式,修补作业系统中1项远端程式码执行(RCE)漏洞,以及2项权限升级与1项资讯洩露漏洞。4月5日的修补更新则可解决上述所有漏洞。


在2019年4月安全补丁中针对Pixel系列进行了更新,其中包括已经停产的初代和第二代Pixel机型。除安全修复程序外,这些手机还具有一些功能增强功能。例如Pixel 3通过Google Assistant助理提高了语音解锁性能,同时初代Pixels改善了蓝牙连接。




厂商更新难


在Google Pixel第一时间获得系统更新之外,Essential也宣布了推出该补丁,并修复了自身手机的一些BUG。即使在愚人节,Essential也以非常敬业的态度及时进行了更新。



但受到软件开发实力和市场策略等因素影响,并非所有厂商都能像 Google 这般「勤快」。实际上,从2015年开始,谷歌每月都会为安卓打上一次安全补丁,目的就是让用户能获得更安全的手机使用体验,不过有些第三方手机厂商,更新安全补丁速度却前后不一,有些干脆选择性遗忘,有些Android 手机厂商在安全更新推送这件事情上只是在「改版本号」,除了变变数字,实质的安全漏洞修补工作并没有做到位。


出现这样的问题,原因其实很复杂。主要还在于以下两点:


1、每月月初发布补丁,迭代频率高,对厂商人力提出较高挑战,有些用户拿到手机以后从不升级系统,这对于手机厂商而言,费再多力气去推送补丁也成效不大,厂商费力不讨好。对消费者来说,补丁的作用太隐性,不能明显感知,所以重视程度也不够,甚至很多消费者对于补丁的作用一无所知。


2、对于一些国际化程度较高的厂商来说,推送补丁没有想象的那么简单。不同国家不同地区的运营商,比如欧洲 VDF、拉美Claro、西班牙Movistar等都需要运营商测试,经常延误测试时间或者没有测试资源,导致月度发布的版本计划经常无法达成,影响到下个补丁版本,所以很难完成每月一次的升级。


综合这两点因素来看,国内很多厂商干脆对打补丁这件事情视而不见,这也导致一些旧机器会成为黑客攻击的重点对象,安全性堪忧。



来源:

iThome

Cnbeta

深几度







- End -





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存