谷歌的3级Android补丁可能会导致混乱
谷歌已发布另一个大型的Android安全补丁,这次修复了55个漏洞,其中8个是至关重要的。
此版本的新颖性是,修复程序分为三个不同的“安全补丁级别” - 日期字符串,这些字符串向用户置于其对象的最新状态。虽然这可能使设备制造商更容易集成适用于其设备的补丁,但它可能导致普通用户之间的混淆。
自2015年8月以来,谷歌根据每月计划发布了Android的安全更新。这旨在为Android补丁添加一些可预测性,实际上,一些设备制造商也致力于每月安全更新。
Google提前与供应商共享其即将到来的补丁,然后为其自己的Nexus设备发布固件更新 - 通常在每个月的第一个星期一 - 以及随附的安全公告。经过几天后,该补丁还发布到Android开源项目(AOSP)并成为公众。
每次安全公告都使用它自己的安全补丁级别。这在“关于手机”下的Android“S设置中表示为日期字符串,并表示固件包含所有Android安全修补程序到该日期。
但是,在7月,谷歌推出了同一月公告的两个补丁级别:一个用于影响所有设备的Android缺陷,以及某些硬件组件的驱动程序中的缺陷。
该论点是,这允许的设备制造商只能为某些设备集成一组修补程序,该设备没有由第二组缺陷影响的硬件组件。但本月,有三个补丁级别字符串:2016-09-01,2016-09-05和2016-09-06。
2016-09-01安全补丁级别涵盖了Android操作系统的各种组件中的25个缺陷的修复。在Libutils和MediaServer中的两个缺陷被评为至关重要,可以通过专门制作的文件来利用以实现远程代码执行。
2016-09-05补丁级别涵盖了从Qualcomm,Synaptics,Broadcom,NVIDIA的设备特定系统驱动程序中的28个漏洞修复,还在内核安全,网络,NetFilter和Soundystems以及内核Ext4文件系统中,网络驱动程序,ASN.1解码器和USB驱动程序。这些缺陷中的五个是至关重要的,可能导致永久性妥协,可能需要重新刷新设备。
2016-09-06补丁级别涵盖了两个漏洞,在内核共享内存子系统中的关键之一,并且在Qualcomm网络组件中具有高额评级。谷歌对这一第三补丁级别的解释是它在其合作伙伴已经了解大多数其他缺陷之后发现了两个问题。
值得注意的是,补丁水平是互补的。2016-09-06级别还包括其他两个补丁级别中的修复程序,而2016-09-05则包括2016-09-01中的修复程序。然而,根据谷歌,2016-09-05还可以包括“与2016年9月6日安全补丁级别相关的修复程序的子集。”
这只增加了混乱。例如,在最新的更新之后,如果您的设备显示2016年9月6日的安全补丁级别,那么它拥有所有适用的补丁,但如果它显示2016年9月5日,它可能会或可能不包括2016年的两种修复09-06补丁级别。