:

Szerző: Hlács Ferenc

2016. augusztus 2. 11:45

Ismét kettéosztva jön az androidos patch-kedd

Az augusztusi androidos biztonsági frissítések is két csomagra osztva érkeznek, a Google elköteleződni látszik az új modell mellett.

Akárcsak az előző hónapban, a Google az augusztusi androidos biztonsági frissítéseket is két pakkban adja ki: az első csomag az operációs rendszeren felfedezett biztonsági réseket hivatott befoltozni, míg a második a hardverekhez tartozó driverek sebezhetőségeit, illetve a kernelben talált sérülékenységeket orvosolja. A javításoknak először szokás szerint a Nexus-tulajdonosok örülhetnek - pontosabban ők, és az androidos BlackBerry készülékek gazdái, a Priv esetében személyesen is tapasztaltuk, hogy a gyártó frissítései egyes Nexusokét is megelőzték.

Az operációs rendszert célzó javítások egészen az Android 4.4.4-es verziójáig nyúlnak vissza és számos hibát helyrehoznak, ilyen például több, a Mediaserverben található sérülékenység, amelyek egy a támadó által létrehozott rosszindulatú MMS vagy egy böngészőben megnyitott, preparált médiafájl megnyitásával használhatók ki, segítségükkel pedig kártékony kód futtatására is lehetőség nyílik a célba vett készülékeken. A Mediaserver komponens egyébként először a rendszeres biztonsági frissítéseket elindító Stagefright kapcsán kapott szélesebb nyilvánosságot, gyengeségeit a cég azóta is folyamatosan javítja. A csomag négy további bugot is foltoz a Mediaserverben, amelyeket kihasználva egyes alkalmazások kiterjedtebb jogosultságokhoz juthatnak, valamint többek között a Wi-Fi, a kamera és az OpenSSL kezelésére szolgáló kódból is kigyomlál egyes részeket, amelyek alkalmasak érzékeny felhasználói adatok kiszivárogtatására.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét!

A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A drivereket célzó javítócsomagra nem lesz minden androidos felhasználónak szüksége, annak egyes részeit értelemszerűen csak az érintett hardverekkel szerelt készülékekre kell telepíteni. Ezeknek a javításoknak a zöme a Qualcomm SoC-ihez tartozó szoftverekhez érkezik, beleértve a chipgyártó bootloaderét, de a kamera-, hang- és hálózati drivereket is foltozza a cég. Utóbbiakat kihasználva egyébként a The Register szerint teljesen átvehető a kontroll a kiszemelt készülék fölött, a károk pedig onnantól legfeljebb egy gyári visszaállítással enyhíthetők. A Qualcomm eszközök biztonsági hibái az utóbbi időben többször is reflektorfénybe kerültek, májusban például a cég egy öt éve tátongó sérülékenységet javított ki. Érdemes megemlíteni továbbá, hogy a Google kapcsolódó weboldalán a Qualcommot érintő frissítések zömét már 2014-ben jelentették - nem világos, hogy a cégek miért vártak ennyi ideig a javítással.

Az elmúlt hónapban is bőven volt tehát mit javítani a világ legnépszerűbb mobil operációs rendszerének védelmi vonalain - sajnos azonban ahogy eddig, a patchek minden valószínűség szerint a következő időszakban sem jutnak majd el a platform felhasználóinak elsöprő többségéhez. A Google közvetlen felügyelete alatt álló Nexusokon, illetve a fentebb említett BlackBerry eszközökön kívül nagyon kevés készülék esetében vállalják a gyártók a havi, rendszeres frissítéseket, különösen, ha nem csúcskategóriás eszközről van szó - még folyamatos patchek mellett elköteleződött néhány cég élén álló Samsung is csak csúcsmodelljeit frissíti hasonló rendszerességgel.  Az elmúlt néhány hónap frissítéseit megnézve egyébként úgy tűnik, az Android 4.4.4 előtti rendszerek kezét már a Google is elengedte, ezek gyakorlatilag az "androidos Windows XP-nek" tekinthetők.

Milyen technológiai és munkaerőpiaci hatások érhetik a backendes szakmát? Május 8-án végre elindul az idei kraftie! meetup-sorozat is (helyszíni vagy online részvétellel).

a címlapról

Hirdetés

Security témákkal folyatódik az AWS hazai online meetup-sorozata!

2024. április 24. 19:47

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.