Η Google μόλις χθες κυκλοφόρησε την έκδοση Σεπτεμβρίου του Android Security Bulletin, το οποίο ξεκινώντας από αυτόν το μήνα διαθέτει ένα νέο patching string σύστημα τριών επιπέδων που είναι εξαιρετικά συγκεχυμένο, ακόμη και για τους επαγγελματίες του Android.
Το “Android security patch level” string είναι μια ρύθμιση στην “About” ενότητα του τηλεφώνου που σας γνωστοποιεί την ημερομηνία της τελευταίας ενημέρωσης ασφαλείας που έλαβε το τηλέφωνό σας.
Η Google παρουσίασε αυτό το string, όταν ξεκίνησε να παραδίδει τις προγραμματισμένες μηνιαίες ενημερώσεις τον περασμένο Αύγουστο.
Τον Μάιο του 2016, η εταιρεία μετονομάστηκε σε Nexus Security Bulletin από Android Security Bulletin για να φαίνεται ότι ορισμένες από τις διορθώσεις απευθύνονταν σε όλες τις Android συσκευές, όχι μόνο στη δική της.
Τον Ιούλιο του 2015, η εταιρεία χώρισε το ενημερωτικό δελτίο (Bulletin) σε δύο μέρη, με το ένα τμήμα να απευθύνεται σε διορθώσεις ασφαλείας στα αρχεία πυρήνα του Android, ενώ το δεύτερο να απευθύνεται σε διορθώσεις των device-specific drivers και των components. Ως εκ τούτου, το ενημερωτικό δελτίο παραθέτει, για πρώτη φορά, δύο επίπεδα patch ασφαλείας.
Το Android Security Bulletin, γι’ αυτόν τον μήνα, έχει πλέον τρία επίπεδα patch ασφαλείας που σίγουρα θα προκαλέσει σύγχυση στους χρήστες.
Υπάρχει το “2016-09-01” security patch level που περιλαμβάνει τις ενημερώσεις ασφαλείας του πυρήνα για το Android OS.
Υπάρχει το “2016-09-05” security patch level που δείχνει ότι μια συσκευή έχει λάβει ενημερώσεις ασφαλείας για τα αρχεία του πυρήνα και για device-specific drivers.
Και υπάρχει ακόμη, το “2016-09-06“, το οποίο δείχνει ότι το τηλέφωνο περιλαμβάνει ενημερώσεις ασφαλείας για τα αρχεία του πυρήνα, για τους drivers ειδικά για συσκευές, και … δεν ξέρουμε τι άλλο. Γι’ αυτόν το μήνα, το τρίτο security patch level περιλαμβάνει δύο bug διορθώσεις, μία για μια κρίσιμη ενημέρωση για ένα Android θέμα σχετικό με τον πυρήνα και για ένα Qualcomm networking component.
Θυμηθείτε, είναι η ίδια εταιρεία που αναφέρθηκε λέγοντας ότι θα αρχίσει τη διαπόμπευση OEMs για την αποτυχία εφαρμογής διορθώσεων ασφαλείας. Λοιπόν, η Google δεν κάνει τη ζωή της πιο εύκολη.
Παρακάτω μπορείτε να δείτε ένα screenshot ενός security patch level string μιας Android συσκευής, καθώς και όλες τις ενημερώσεις ασφαλείας που περιλαμβάνονται στο ενημερωτικό δελτίο ασφαλείας αυτού του μήνα.
Remote code execution vulnerability in LibUtils | CVE-2016-3861 | Critical | Yes |
Remote code execution vulnerability in Mediaserver | CVE-2016-3862 | Critical | Yes |
Remote code execution vulnerability in MediaMuxer | CVE-2016-3863 | High | Yes |
Elevation of privilege vulnerability in Mediaserver | CVE-2016-3870, CVE-2016-3871, CVE-2016-3872 | High | Yes |
Elevation of privilege vulnerability in device boot | CVE-2016-3875 | High | No* |
Elevation of privilege vulnerability in Settings | CVE-2016-3876 | High | Yes |
Denial of service vulnerability in Mediaserver | CVE-2016-3899, CVE-2016-3878, CVE-2016-3879, CVE-2016-3880, CVE-2016-3881 | High | Yes |
Elevation of privilege vulnerability in Telephony | CVE-2016-3883 | Moderate | Yes |
Elevation of privilege vulnerability in Notification Manager Service | CVE-2016-3884 | Moderate | Yes |
Elevation of privilege vulnerability in Debuggerd | CVE-2016-3885 | Moderate | Yes |
Elevation of privilege vulnerability in System UI Tuner | CVE-2016-3886 | Moderate | Yes |
Elevation of privilege vulnerability in Settings | CVE-2016-3887 | Moderate | Yes |
Elevation of privilege vulnerability in SMS | CVE-2016-3888 | Moderate | Yes |
Elevation of privilege vulnerability in Settings | CVE-2016-3889 | Moderate | Yes |
Elevation of privilege vulnerability in Java Debug Wire Protocol | CVE-2016-3890 | Moderate | No* |
Information disclosure vulnerability in Mediaserver | CVE-2016-3895 | Moderate | Yes |
Information disclosure vulnerability in AOSP Mail | CVE-2016-3896 | Moderate | No* |
Information disclosure vulnerability in Wi-Fi | CVE-2016-3897 | Moderate | No* |
Denial of service vulnerability in Telephony | CVE-2016-3898 | Moderate | Yes |
Issue | CVE | Severity | Affects Nexus? |
---|---|---|---|
Elevation of privilege vulnerability in kernel security subsystem | CVE-2014-9529, CVE-2016-4470 | Critical | Yes |
Elevation of privilege vulnerability in kernel networking subsystem | CVE-2013-7446 | Critical | Yes |
Elevation of privilege vulnerability in kernel netfilter subsystem | CVE-2016-3134 | Critical | Yes |
Elevation of privilege vulnerability in kernel USB driver | CVE-2016-3951 | Critical | Yes |
Elevation of privilege vulnerability in kernel sound subsystem | CVE-2014-4655 | High | Yes |
Elevation of privilege vulnerability in kernel ASN.1 decoder | CVE-2016-2053 | High | Yes |
Elevation of privilege vulnerability in Qualcomm radio interface layer | CVE-2016-3864 | High | Yes |
Elevation of privilege vulnerability in Qualcomm subsystem driver | CVE-2016-3858 | High | Yes |
Elevation of privilege vulnerability in kernel networking driver | CVE-2016-4805 | High | Yes |
Elevation of privilege vulnerability in Synaptics touchscreen driver | CVE-2016-3865 | High | Yes |
Elevation of privilege vulnerability in Qualcomm camera driver | CVE-2016-3859 | High | Yes |
Elevation of privilege vulnerability in Qualcomm sound driver | CVE-2016-3866 | High | Yes |
Elevation of privilege vulnerability in Qualcomm IPA driver | CVE-2016-3867 | High | Yes |
Elevation of privilege vulnerability in Qualcomm power driver | CVE-2016-3868 | High | Yes |
Elevation of privilege vulnerability in Broadcom Wi-Fi driver | CVE-2016-3869 | High | Yes |
Elevation of privilege vulnerability in kernel eCryptfs filesystem | CVE-2016-1583 | High | Yes |
Elevation of privilege vulnerability in NVIDIA kernel | CVE-2016-3873 | High | Yes |
Elevation of privilege vulnerability in Qualcomm Wi-Fi driver | CVE-2016-3874 | High | Yes |
Denial of service vulnerability in kernel networking subsystem | CVE-2015-1465, CVE-2015-5364 | High | Yes |
Denial of service vulnerability in kernel ext4 file system | CVE-2015-8839 | High | Yes |
Information disclosure vulnerability in Qualcomm SPMI driver | CVE-2016-3892 | Moderate | Yes |
Information disclosure vulnerability in Qualcomm sound codec | CVE-2016-3893 | Moderate | Yes |
Information disclosure vulnerability in Qualcomm DMA component | CVE-2016-3894 | Moderate | Yes |
Information disclosure vulnerability in kernel networking subsystem | CVE-2016-4998 | Moderate | Yes |
Denial of service vulnerability in kernel networking subsystem | CVE-2015-2922 | Moderate | Yes |
Vulnerabilities in Qualcomm components | CVE-2016-2469 | High | No |
Issue | CVE | Severity | Affects Nexus? |
---|---|---|---|
Elevation of privilege vulnerability in kernel shared memory subsystem | CVE-2016-5340 | Critical | Yes |
Elevation of privilege vulnerability in Qualcomm networking component | CVE-2016-2059 | High | Yes |