大家可能还记得,去年谷歌承诺通过修复安全漏洞来提高透明度。谷歌承诺每月提供更新,以修复他们发现的影响Nexus设备的所有漏洞。最终,许多原始设备制造商开始每月提供安全补丁,最终Nexus安全公告扩展到发现和修复许多常见的安卓安全问题。为了反映范围的变化,谷歌宣布从本月开始将Nexus安全公告更名为Android安全公告。正如承诺的那样,他们刚刚发布了本月的安全补丁。
什么是新的
本月,谷歌共发现并修复了25个安全漏洞。对于发现的漏洞的严重性,将6标记为严重,12标记为高,6标记为中,1标记为低。在这些漏洞中,25台Nexus或Android One设备中有24台受到影响。到目前为止,谷歌修复的最关键的安全问题是影响mediaserver的问题,mediaserver允许远程执行代码。如果用户以任何方式(电子邮件、网页浏览、彩信等)打开被感染的媒体文件。),他们可能会在您不知情或不同意的情况下触发代码来远程执行他们的设备。根据谷歌的报告,至少在实际环境中没有利用该漏洞的报告。
有关谷歌发现并修复的所有其他安全漏洞的列表,您可以在5月份阅读完整的安卓安全公告。你会注意到发现的很多漏洞都是相当广泛的(比如与NVIDIA视频驱动或者高通Wi-Fi驱动相关的),而且不仅仅适用于谷歌的Nexus设备,所以当你不得不接受这个更新的时候,不管你用的是哪个设备,都可以尽快使用。
此外,谷歌强调安全网和验证应用程序的实现所提供的安全性。每个谷歌:
随着安卓平台版本的更新,在安卓上使用很多问题变得更加困难。鼓励所有用户尽可能更新到最新版本的Android。
安卓安全团队使用验证应用和安全网来积极监控滥用。这些警告旨在警告用户潜在的有害应用程序。默认情况下,对于从Google Play之外安装应用程序的用户来说,验证应用程序是否已在具有Google Mobile服务的设备上启用非常重要。谷歌Play禁止使用设备生根工具,但验证应用程序会在用户尝试安装检测到的生根应用程序时提醒用户,无论它来自哪里。此外,“验证应用程序”试图识别和阻止利用权限提升漏洞的已知恶意应用程序的安装。如果已经安装了这样的应用程序,验证应用程序将通知用户并尝试删除检测到的应用程序。
Google Hangouts和Messenger应用程序不会在适当的时候自动将媒体传递给进程,例如mediaserver。
我什么时候更新?
幸运的是,对于谷歌Nexus设备所有者来说,你应该很快就会在你的设备上看到这个更新。像往常一样,此更新将分波向用户发布,因此您可能会也可能不会立即收到。如果不想等,总会有工厂形象路线。如果您正在等待定制只读存储器来实现这些更新,您必须等待更新的源在接下来的2天内被放入AOSP。
对于使用其他制造商生产的设备的用户,您的等待时间会有所不同。截至2016年4月4日,谷歌的合作伙伴已经被告知本次公告中发现的这些安全问题,因此OEM有充足的时间修补自己定制的Android版本来修复这些问题。安全漏洞。您应该预计此更新将在本月的某个时候发布,但请记住,这些更新总是会受到人们的热烈欢迎,原始设备制造商希望将其功能更新与这些补丁捆绑在一起,这可能会延迟更新。例如,Nextbit Robin在4月27日发布了一个更新,修复了4月安全公告中提到的安全问题。