A Google havi frissítési rendszere továbbra is fontos javításokat kínál a sebezhetőségekkel kapcsolatban, amelyekről sokan még nem tudják, hogy az Android soha nem létezett. A március listája 19 problémát tartalmaz az operációs rendszer egész területén. Ezeket a frissítéseket súlyosságuk szerint mérsékeltnek, magasnak vagy kritikusnak tekintik, és az ezen problémák megoldására kiadott frissítéssel együtt részletesen ismertetik a javításokat. Ahogyan ezek a havi frissítések gyakran előfordulnak, a hozzájárulások a világ minden tájáról érkeznek, valamint a Google belső biztonsági csapata, hogy az Android mindig jobb.
Íme, amit tudnia kell a 2016. március 01-i biztonsági szintben elérhetővé tett javításokról, valamint arról, hogy mikor kapja meg telefonja vagy táblagépe a frissítést.
Az Android márciusi frissítése hat kritikus kérdést, nyolc magas kérdést és két mérsékelt problémát foglal magában. Ide tartoznak a privilégiumok sebezhetőségei, a távoli kódfuttatást lehetővé tevő biztonsági rések, a szolgáltatás távoli elutasításának sebezhetőségei és az operációs rendszer egésze enyhítő bypass biztonsági rései. Ezen problémák közül a Google szerint a legfontosabb a Mediaserver és a libvpx távoli kódfuttatással kapcsolatos sebezhetősége. Ezek a problémák megengedhetik, hogy egy harmadik fél MMS-adathordozókat vagy böngészőlejátszó eszközöket használjon a telefonon vagy táblagépen lévő kód végrehajtásához egy speciálisan kialakított fájl segítségével, amely rosszindulatúan viselkedett ahelyett, hogy médiát játszott volna. A Google a javításokat egészen az Android 4.4.4 verziójáig kiadta ezeknek a problémáknak a megoldására.
A frissítésekhez hasonlóan, a Google azt állítja, hogy nincs bizonyíték az ilyen biztonsági réseket használó aktív támadásokról.
A MediaTek illesztőprogramjainak és a Qualcomm teljesítménykomponenseinek kiváltságainak sérülékenységének fokozására a frissítés, valamint a Mediaserver és a Keyring is vonatkozott. Ezek kihasználása esetén ezek a sebezhetőségek lehetővé tehetik-e több hozzáférést, mint az alkalmazás számára engedélyezett hozzáférés. Ugyanez vonatkozik a telefonálás, a libstagefright, a WideVine és az Android Kernel információ-nyilvánosságra hozatalának sérülékenységére is, csak a rendszer több funkciójához való hozzáférés helyett egy rosszindulatú alkalmazás több információhoz férhet hozzá, mint amennyit engedélyezte a hozzáféréshez.
A frissítésekhez hasonlóan, a Google azt állítja, hogy nincs bizonyíték az ilyen biztonsági réseket használó aktív támadásokról. A Nexus telefonok és táblagépek képei, amelyek e márciusi frissítést tartalmazzák, már elérhetőek a Google Developers webhelyen, a héten belül várhatóan elérhető lesz az over-the-air frissítés. A Google legalább 30 nappal ezelőtt közölte ezeket a frissítéseket Android-partnereivel, és azok a vállalatok, amelyek elkötelezték magukat a biztonsági frissítések lehető leggyorsabb rendelkezésre bocsátása mellett - például a BlackBerry, amely már szállítja a márciusi frissítést a Priv-en - részletesebben fogják bemutatni frissítési tervüket. amint tudnak.
