Fjerner flere kritiske Android-sårbarheter

Likevel uvisst om sikkerhetsfiksene blir tilgjengelig for flertallet av brukerne.

Selv om Google nå kommer med månedlige sikkerhetsoppdateringer til Android, er det trolig få som får glede av dem.
Selv om Google nå kommer med månedlige sikkerhetsoppdateringer til Android, er det trolig få som får glede av dem. Bilde: Rob Bulmahn/Flickr (CC BY 2.0)
Harald BrombachHarald BrombachNyhetsleder
8. des. 2015 - 10:59

Google kom i går med en ny sikkerhetsoppdatering til selskapets Nexus-enheter, hvor en mer eller mindre alvorlige sårbarheter har blitt fjernet fra Android. Sårbarhetene er fordelt på en rekke komponenter, nok en gang libstagefright, men også i andre komponenter for blant annet medieavspilling, Bluetooth og WLAN.

De mest alvorlige sårbarhetene åpner for fjernkjøring av vilkårlig kode via flere ulike metoder, inkludert e-post, nettleser og MMS.

Også en libstagefright-sårbarhet som er delvis kreditert Guang Gong, er fjernet. Kinesiske Guang Gong demonstrerte en oppsiktsvekkende angrep mot Android under Pwn2Own Mobile-konkurransen i november, hvor han tilsynelatende utnyttet sårbarheter i både Chrome og Android til å installere uønskede apper på en mobil.

Google fikk vite om denne sårbarheten allerede den 2. september, men har først nå fjernet den.

De fleste er berørt

De fleste av sårbarhetene berører både Android 6.0 og eldre utgaver, men det er også noen som har blitt innført med 6.0, mens andre bare berører eldre utgaver.

Sikkerhetsfiksene til Nexus-enhetene blir trolig rullet ut sammen med Android 6.0.1, som også ble gjort tilgjengelig for nedlasting i går. Til Nexus-enheter hvor Android 6.0 ikke er tilgjengelig, er sikkerhetsfiksene inkludert i byggnummer LMY48Z.

Automatisk utrulling av oppdateringene til Nexus-enhetene vil trolig skje i løpet av et par uker.

Når disse sikkerhetsoppdateringene blir gjort tilgjengelig for andre Android-enheter enn Nexus, er uvisst. Google oppgir at selskapets partnere fikk tilgang til både informasjon og oppdateringer for disse sårbarhetene senest den 2. november, men mange leverandører er mer opptatt av å selge enheter enn å sørge for sikkerheten til kundene i ettertid.

Månedlig

Noen leverandører, som Samsung og LG, har tidligere i høst kunngjort at også de vil gi ut månedlige sikkerhetsoppdateringer til Android-enheter, uten å oppgi detaljer om hvilke enheter som vil motta disse og hvilke som eventuelt blir utelatt.

For å kunne vite hvilket feilrettingsnivå en Android-enhet befinner seg på, kan man finne dette dersom man velger Om telefonen i Innstillinger-appen. I utgangspunktet gjelder dette dog bare i Android 6.0, men Samsung skal nå ha gjort denne informasjonen lett tilgjengelig også i Android 5.1.1 på noen av toppmodellene.

Typisk vil denne informasjonen inneholde en dato. Det nyeste feilrettingsnivået er 1. desember.

Kildekoden til sikkerhetsfiksene vil gjøres tilgjengelig for Android Open Source Project innen en dag eller to.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.