Google выпустила ноябрьское обновление безопасности для актуальных устройств Nexus, затронувшее гаджеты с Marshmallow и Lollipop. На этот раз поисковик дал краткое, понятное простому читателю разъяснение по тому, какие конкретно «дыры» закрыл патч.
Две из них компания пометила как критические, благодаря им злоумышленник мог удаленно, через посылку мультимедийного файла любым способом (e-mail, MMS или просто воспроизведение в браузере) исполнить вшитый в него вредоносный код.
Из пяти оставшихся «дыр» четыре позволяли повысить привилегии процесса, дав ему больше прав, а одна — получить несанкционированный доступ к данным.Google сообщает, что в течение 48 часов после публикации образов код исправлений разместят в репозитории AOSP (Android Open Source Project). Сами прошивки для Nexus‑устройств основаны на нескольких сборках для получивших Marshmallow гаджетов и LMY48X для оставшихся на Lollipop. Поисковик предупредил партнеров обо всех этих «дырах» еще 5 октября, чтобы те могли иметь их в виду.
Собственная система безопасности Google, а также дублирующая партнерская не отметили ни единого использования указанных уязвимостей. С большой долей вероятности это означает, что злоумышленники сами не смогли обнаружить их. Впрочем, Google говорит лишь о гаджетах с установленным пакетом сервисов, а на поистине огромном рынке Китая таких практически нет. Да и злоумышленники теперь знают об уязвимостях и смогут их использовать на устройствах, не получающих заплатки, а их очень много.
[via Google]