Google Détails correctifs contenus dans le Septembre ronde des mises à jour de sécurité à des dispositifs Nexus et PSBA
Cette semaine, le dernier lot de over-the-air mises à jour de sécurité commencé à déployer des dispositifs Nexus, plus passer sous la version LMY48M. Google a également publié les produits en ligne la forme d'images d'usine. La société a ensuite fournir une liste des correctifs de sécurité.
Huit faire la liste, avec l'un ayant été effectivement exploitée à l'état sauvage. Bien que si cela a été utilisé de façon malveillante ou juste quelqu'un l'enracinement de leur propre dispositif est claire. Aucun des vulnérabilités ont été récemment divulgués.
| Titre | CVE | Gravité | Exploitation active |
|---|---|---|---|
| Exécution de code à distance Une vulnérabilité dans Mediaserver | CVE-2015-3864 | Critique | Non |
| Élévation de privilèges dans le noyau vulnérabilité | CVE-2015-3636 | Critique | Oui |
| Élévation de privilèges vulnérabilité dans Binder | CVE-2015-3845, CVE-2015-1528 | Haut | Non |
| Élévation de privilèges vulnérabilité dans Keystore | CVE-2015-3863 | Haut | Non |
| Élévation de privilèges vulnérabilité dans la région | CVE-2015-3849 | Haut | Non |
| Altitude de la vulnérabilité de privilège dans SMS permet notification dérivation. | CVE-2015-3858 | Haut | Non |
| Élévation de privilèges vulnérabilité dans LockScreen | CVE-2015-3860 | Modérer | Non |
| Vulnérabilité de Déni de Service dans Mediaserver | CVE-2015-3861 | Faible | Non |
Selon Ars Technica, les deux correctifs critiques portent vulnérabilités trouvées dans la bibliothèque multimédia Android libstagefright. Ces utilisateurs autorisés à exécuter du code nocif sur les appareils des utilisateurs, et Google a travaillé avec les fabricants d'appareils et les transporteurs pour obtenir sur le dessus de la question au cours des derniers mois.
Ces mises à jour sont tout aussi Zimperium Mobile Security a publié une preuve de concept de code montrant comment les vulnérabilités de Stagefright pourraient être exploitées.
Techniques d'atténuation utilisées pour empêcher l'exploitation:
- L'exploitation à distance pour de nombreuses questions sur les versions Android 4.1 (Jelly Bean) et plus est atténué par des améliorations dans l'Address Space Layout Randomization (ASLR) algorithme utilisé dans ces versions. Android 5.0 améliorée ASLR en exigeant PIE (indépendant de la position exécutable) pour tous les exécutables liés dynamiquement renforcer davantage la protection ASLR. Nous encourageons tous les utilisateurs à mettre à jour à la dernière version d'Android, si possible.
- L'équipe de sécurité Android surveille activement pour abus de problèmes avec les applications Vérifiez et SafetyNet qui avertira sur les applications potentiellement dangereuses sur le point d'être installé. Device "enracinement" outils sont interdits dans Google Play. Pour protéger les utilisateurs qui installent des applications provenant de l'extérieur de Google Play, Vérifiez Apps est activé par défaut et avertir les utilisateurs sur les applications enracinement connus. Vérifiez Apps bloquer l'installation des applications connues "malveillants" qui exploitent une vulnérabilité d'élévation de privilèges. Si une telle demande a déjà été installé, vérifiez les applications tentera de supprimer automatiquement de telles applications et avertir l'utilisateur.
- Le cas échéant, Google a mis à jour les Hangouts et Messenger applications afin que les médias ne sont pas automatiquement transmis à des processus vulnérables (comme Mediaserver.)
Pour en savoir plus sur ce qui a changé dans les dernières mises à jour, consultez le dernière entrée dans notre série PSBA modifications et le lien de la source ci-dessous.
- La source:
-
Grande majorité des appareils Android sont vulnérables à 'Stagefright' exploit qui peuvent être exécutées via un message texte, selon des chercheurs -
«Critique» la vulnérabilité Flash Découvert pour les appareils Android -
CyanogenMod 10.1.2 inclut fixer pour la deuxième "clé maître" vulnérabilité Android -
Votre téléphone a heartbleed? Détecteur application de Lookout peut dire -
Android 4.4.2 correctifs Classe 0 SMS DoS vulnérabilité des appareils Nexus -
Novembre la mise à jour de sécurité d'Android maintenant disponible pour les appareils Nexus
ASUS ZenFone 2 mise à jour des correctifs de vulnérabilité Stagefright, ajoute de nombreuses améliorations Chaque fabricant travaille sur l'envoi de correctifs pour le Vulnérabilité Stagefright, mais jusqu'à présent, tout ce que nous avons vu est très axé sur cette question spécifique. ASUS ne perd pas de temps car elles libèrent la mise à jour…
BlackBerry Priv pour recevoir les correctifs mensuels de sécurité Android Dans le sillage de la récente Vulnérabilité Stagefright dans Android, de nombreux équipementiers ont commis des mises à jour de sécurité axée mensuels pour leurs appareils. Des sociétés telles que Samsung, LG et Google ont tous engagés…
Google révèle des détails sur les mises à jour de sécurité mensuelles nouvelle Android Security Group Google Les dernières semaines ont été assez fou dans le monde de la sécurité Android, et tout a commencé avec That Pesky Stagefright exploiter qui est venu à la lumière le mois dernier. Dans le sillage de la vulnérabilité de grande envergure,…
Comment Google fixant les Stagefright vulnérabilité qui affecte 95% de tous les téléphones Android? La vulnérabilité Stagefright est probablement la plus grande frayeur de sécurité Android, nous avons vu dans quelques années. Et bien sûr, cet exploit feuilles 95% de tous les utilisateurs d'Android sensibles aux attaques, qui pourrait…
Samsung aborde la question de la vulnérabilité d'effacement à distance sur Galaxy S3 Les propriétaires de Samsung Galaxy S3 ont fait une petite frayeur hier suite la découverte d'une faille de sécurité sur l'appareil - ainsi que sur le Galaxy S2, Galaxy S Advance, Galaxy Beam et Galaxy Ace, et peut-être plus. L'exploit peut…
Samsung pour libérer les mises à jour mensuelles de sécurité pour ses appareils Android dans le sillage de Stagefright exploiter Un certain nombre de dispositifs mobiles sur ATT et Sprint ont déjà commencé à recevoir des correctifs de sécurité pour le Trac exploiter Android. La plupart des dispositifs qui reçoivent déjà des mises à jour sont de Samsung, et ce ne…
Cabinet de sécurité découvre une autre vulnérabilité Android de grande envergure Une équipe d'experts en sécurité mobiles à la recherche cabinet Zimperium ont récemment découvert un exploit dans Android qui pourraient permettre à des pirates d'avoir accès à votre appareil mobile beaucoup plus facile que vous ne le…
Par SMS attaque DOS peut causer des dispositifs Nexus de redémarrer ou de perdre la connexion de données Le chercheur en sécurité Bogdan Alecu découvert une vulnérabilité qui expose appareils Nexus à des attaques par déni de service basé sur un type spécial de SMS. Comme la première fois par PC World, l'attaque est basée sur SMS Flash, aussi…
Trend Micro découvre Mediaserver bug qui peut faire planter Android, mais vous ne devez pas perdre le sommeil Les gens sont hyper-conscients des vulnérabilités Android, après l'annonce de la Stagefright exploiter récemment, Trend Micro prend donc la possibilité de détail d'un bug, il trouve dans les applications récemment. Il est un bug dans le…
[Mise à jour: 9 Nexus LTE] Mises à jour OTA entrant pour les appareils Nexus pour résoudre la vulnérabilité Dans Stagefright Contenu de l'Article1 Nexus 42 Nexus 53 Nexus 64 Nexus 7 (2013)5 Nexus 96 Nexus 10La semaine dernière, Google a publié des images d'usine pour chaque activement soutenu à l'exception du Nexus LTE Nexus 7 Nexus 2013 et joueur. Ces images ont été…
BlackBerry engage Pour mensuelles Android patchs de sécurité pour le Priv La vulnérabilité dans Android Stagefright récente a conduit à de nouvelles attentes pour les correctifs de sécurité. Google, Samsung, et LG ont tous dit qu'ils vont travailler pour obtenir mises à jour mensuelles de sécurité à des…
LG rejoint Google et Samsung en promettant de fournir des mises à jour de sécurité mensuelle Les nouvelles de la Stagefright exploiter semble avoir précipité un engagement de mise à jour si nécessaire de Google et différents OEM Android. Après Samsung a annoncé son nouveau processus de mise à jour de sécurité Android et Google a…
Google promet une mise à jour de sécurité pour les périphériques Stagefright Nexus dès la semaine prochaine Donc, vous pourriez avoir entendu parler de la vulnérabilité Stagefright qui était publié hier. Alors qu'il n'y a aucune preuve d'un hack largement utilisé, le potentiel de MMS attaques malveillantes VIA Android intégré dans le système de…
Galaxy Note de Sprint 4 Obtient Android 5.1.1 Update Avec Stagefright vulnérabilité Fix Le Samsung Galaxy Note 4 obtient une mise à jour OTA aujourd'hui, et il faut le dispositif de 5.0 jusqu'à 5.1.1. Cela signifie que quelques petites modifications au système, mais il ya aussi quelques corrections de bugs importants, dont une pour…
Sprint annonce une tonne d'OTA Stagefright-connexes pour Nexus (Build LMY48I) et Galaxy Devices Nous savions que les correctifs Stagefright devaient commencer à déployer cette semaine, et il est Sprint en tête du peloton. Sprint déjà déployé une mise à jour à la note 4 plus tôt cette semaine, mais maintenant vous pouvez ajouter…