На прошлой неделе хрупкой экосистеме Android пришлось пережить сразу два потрясения: раскрытие обхода шифрования данных и наличия новой угрозы — рекламного ПО HummingBad. Возможность взлома FDE лишний раз всем напомнила о необходимости своевременно устанавливать патчи, однако статистика Duo Labs показывает, что это большая проблема для пользователей, вынужденных полагаться в этом вопросе на операторов сотовой связи и производителей мобильных устройств.

Новый набор патчей от Google, запоздавший из-за Дня независимости США, усугубил проблему: он очень объемен и содержит заплатки для ряда регулярно латаемых компонентов, в том числе для Mediaserver, модулей производства Qualcomm, MediaTek и NVIDIA. Телеоператоры и вендоры получили эти патчи 6 июля, а на AOSP они станут доступными в ближайшие сутки.

Google обращает всеобщее внимание на то, что новый бюллетень содержит два раздела, соответствующих разным уровням патчинга: по состоянию на 1 июля (неполный уровень) и на 5 июля (полное решение всех накопившихся проблем). При этом набор, датированный 1 июля, может также включать некоторые патчи от 5 июля.

«Этот бюллетень предлагает два уровня патчинга с тем, чтобы обеспечить партнерам по Android-бизнесу гибкость: патчи для уязвимостей, одинаковых для всех Android-устройств, можно будет применить в первую очередь, — пишут представители разработчика. — Мы призываем Android-партнеров закрыть все уязвимости, перечисленные в этом бюллетене, и ориентироваться на наиболее актуальный уровень патчинга».

Самыми серьезными из ныне закрываемых уязвимостей являются семь багов удаленного исполнения кода в Mediaserver. Они включены в набор уровня 1 июля вместе с критической RCE в OpenSSL и Boring SSL (CVE-2016-2108).

Набор уровня 5 июля устраняет дюжину критических брешей повышения привилегий, в том числе в драйверах MediaTek (драйверах Wi-Fi на некоторых устройствах), драйвере графического процессора Qualcomm, компоненте для измерения производительности от того же вендора и драйвере видеокарты NVIDIA. Этот уровень также предполагает устранение уязвимостей в файловой системе ядра (CVE-2016-3775) и в драйвере USB (CVE-2015-8816).

Ряд брешей, закрываемых июльским апдейтом, оценен как «высокой степени опасности». Таковы присутствующие на всех Android-устройствах RCE-уязвимость в Bluetooth и множественные баги повышения привилегий/раскрытия информации в Mediaserver, OpenSSL, libpng, службах LockSettings и ChooserTarget. Набор, датированный 5 июля, устраняет высоко опасные уязвимости повышения привилегий в драйверах компонентов Qualcomm, NVIDIA, MediaTech, а также в файловой системе ядра, драйвере SPI-интерфейса и сетевых компонентах.

Проблемы, вызванные задержкой применения патчей на Android, привлекли внимание правительства США. В минувшем мае Федеральная торговая комиссия и Федеральная комиссия по коммуникациям разослали письма ведущим вендорам и операторам, затребовав отчет о практике установки патчей.

Категории: Главное, Уязвимости