차례:
Google은 4 월 2 일 Android 용 보안 패치와 관련된 세부 정보를 공개하여 몇 주 전에 공지에 설명 된 문제와 슬루 또는 기타 중요하고 중간 정도의 문제를 완전히 완화했습니다. 이것은 이전 게시판과 약간 다르며 Android에서 사용되는 Linux 커널 버전 3.4, 3.10 및 3.14의 권한 에스컬레이션 취약점에 특히주의를 기울입니다. 우리는 그 페이지 아래에서 더 논의 할 것입니다. 그동안 이번 달 패치에 대해 알아야 할 사항이 있습니다.
Google 개발자 사이트에서 현재 지원되는 Nexus 기기에 대해 업데이트 된 펌웨어 이미지를 사용할 수 있습니다. Android 오픈 소스 프로젝트는 이제 이러한 변경 사항을 관련 지점으로 배포했으며 48 시간 이내에 모든 것이 완료되고 동기화됩니다. 현재 지원되는 Nexus 휴대 전화 및 태블릿에 대한 무선 업데이트가 진행 중이며 표준 Google 출시 절차를 따릅니다. Nexus에 도착하는 데 1-2 주가 걸릴 수 있습니다. 브랜드에 관계없이 휴대 전화를 만든 사람들을 의미하는 모든 파트너는 2016 년 3 월 16 일부터 이러한 수정 프로그램에 액세스 할 수 있으며, 각자의 일정에 따라 장치를 발표하고 패치합니다.
해결 된 가장 심각한 문제는 미디어 파일을 처리 할 때 원격 코드 실행을 허용 할 수있는 취약점입니다. 이러한 파일은 이메일, 웹 브라우징 MMS 또는 인스턴트 메시징 등 어떤 방법 으로든 전화기로 보낼 수 있습니다. 패치 된 다른 중요한 문제는 DHCP 클라이언트, Qualcomm의 성능 모듈 및 RF 드라이버와 관련이 있습니다. 이러한 악용으로 인해 장치 펌웨어가 영구적으로 손상되는 코드가 실행되어 최종 개발 사용자가 "개발 제안에 따라 플랫폼 및 서비스 완화가 비활성화 된 경우"전체 운영 체제를 다시 플래시해야합니다. 알 수없는 출처의 앱을 설치하거나 OEM 잠금을 해제 할 수 있다는 것은 보안상의 문제입니다.
패치 된 다른 취약점으로는 공장 재설정 보호를 우회하는 방법, 서비스 거부 공격을 허용하기 위해 악용 될 수있는 문제 및 루트가있는 장치에서 코드를 실행할 수있는 문제가 있습니다. IT 전문가도이 업데이트에서 패치 된 "민감한"정보에 액세스 할 수있는 메일 및 ActiveSync 문제를 보게되어 기쁩니다.
항상 그렇듯이 Google은 이러한 문제의 영향을받는 사용자에 대한보고가 없었으며 기기가 이러한 문제와 향후 문제에 피해를 입지 않도록하는 권장 절차를 제시합니다.
- 최신 버전의 Android 플랫폼의 향상된 기능으로 인해 Android의 많은 문제에 대한 악용이 더욱 어려워졌습니다. 가능한 경우 모든 사용자가 최신 버전의 Android로 업데이트하는 것이 좋습니다.
- Android 보안 팀은 Verify Apps and SafetyNet을 통해 악용 여부를 적극적으로 모니터링하고 있으며 잠재적으로 유해한 것으로 탐지 된 응용 프로그램의 설치 여부를 사용자에게 경고합니다. 기기 응원 도구는 Google Play에서 금지되어 있습니다. Google Play 외부에서 애플리케이션을 설치하는 사용자를 보호하기 위해 기본적으로 앱 확인이 활성화되어 있으며 알려진 루팅 애플리케이션에 대해 사용자에게 경고합니다. 앱이 권한 상승 취약점을 악용하는 알려진 악성 애플리케이션의 설치를 식별하고 차단하려고 시도하는지 확인합니다. 이러한 응용 프로그램이 이미 설치되어 있으면 Verify Apps는 사용자에게 알리고 해당 응용 프로그램을 제거하려고 시도합니다.
- 적절한 경우 Google 행 아웃 및 메신저 애플리케이션은 미디어를 미디어 서버와 같은 프로세스로 자동 전달하지 않습니다.
이전 공지에서 언급 된 문제에 대하여
2016 년 3 월 18 일 Google은 많은 Android 휴대 전화 및 태블릿에서 사용되는 Linux 커널 문제에 대해 별도의 추가 보안 게시판을 발행했습니다. 안드로이드에서 사용되는 Linux 커널 버전 3.4, 3.10 및 3.14의 악용으로 인해 장치가 영구적으로 손상 될 수 있으며 (즉, 루팅 된 경우) 영향을받는 전화 및 기타 장치는 운영 체제를 다시 덮다. 애플리케이션이이 악용을 시연 할 수 있었으므로 한 달 중순의 공지가 릴리스되었습니다. 구글은 또한 넥서스 기기가 "며칠 안에"패치를받을 것이라고 언급했다. 이 패치는 구현되지 않았으며 Google은 최신 보안 공지에서 이유를 언급하지 않습니다.
CVE-2015-1805 문제는 2016 년 4 월 2 일 보안 업데이트에서 완전히 패치되었습니다. Android 버전 4.4.4, 5.0.2, 5.1.1, 6.0 및 6.0.1 용 AOSP 브랜치에서이 패치를 받았으며 소스로의 롤아웃이 진행 중입니다.
구글은 또한 2016 년 4 월 1 일 패치를받은 기기는이 특정 익스플로잇에 대해 패치되지 않았으며, 2016 년 4 월 2 일 이후 패치 레벨을 가진 안드로이드 기기 만이 최신 버전이라고 언급합니다.
Verizon Galaxy S6 및 Galaxy S6 Edge로 전송 된 업데이트 날짜는 2016 년 4 월 2 일이며 이러한 수정 사항 이 포함되어 있습니다.
T-Mobile Galaxy S7 및 Galaxy S7 Edge로 전송 된 업데이트 날짜는 2016 년 4 월 2 일이며 이러한 수정 사항 이 포함되어 있습니다.
잠금 해제 된 BlackBerry Priv 전화 용 빌드 AAE298은 2016 년 4 월 2 일자이며이 수정 프로그램 이 포함되어 있습니다. 2016 년 3 월 말에 발표되었습니다.
3.18 커널 버전을 실행하는 전화는이 특정 문제의 영향을받지 않지만 2016 년 4 월 2 일 패치에서 해결 된 다른 문제의 패치는 여전히 필요합니다.
