谷歌为零天内核缺陷创建修复,说对Android的影响被夸大了
在本周披露Linux内核的严重缺陷的泄露后,谷歌已经迅速为Android开发了一个补丁,并与设备制造商共享。
设备制造商可能需要数周才能开始释放包含修复的固件更新,但是由于谷歌的评估,因此“自从Google”评估以来,这不是一个巨大的问题,这缺陷不会影响许多Android设备以开始。
权限升级漏洞允许攻击者如果可以访问基于Linux的系统,如果他们可以访问有限的帐户或技巧,以运行恶意应用程序。来自以色列威胁防御启动感知点的研究人员发现。
研究人员在周二公开披露问题之前通知Linux内核维护者和Red Hat。但是,尽管声称,他们没有联系Android Security团队,占Android设备的大约66%可能是易受攻击的。
他们的估计是基于缺陷从前向前的3.8影响所有Linux内核版本的事实,并且在Android以4.4(Kitkat)开始使用此类漏洞内核。
但是,在Android World中,设备的内核版本更多地取决于制造商的选择,而不是安装在其上的Android版本。制造商Don“T必须在基于较新的Android版本创建固件时更新内核,尤其是旧设备。
Adrian Ludwig,Android的铅安全工程师,将受影响的设备的数量放在比感知点低得多。
“运行Android 4.4及更早版本的许多设备不包含Linux内核3.8中引入的易受攻击的代码,因为这些较新的内核版本在较旧的Android设备上不常见,”他在博客帖子中说。
此外,根据Ludwig,运行Android 5.0(棒棒糖)和较新的设备也受到保护,即使它们是否使用易受攻击的内核,因为这些Android版本具有安全增强的Linux(Selinux)内核模块。
他说,这些版本中的Android SELinux政策可防止第三方应用程序到达受影响的代码,添加了谷歌的Nexus设备也会受到影响。
这似乎与感知点研究人员相矛盾,他说有可能绕过Selinux和Red Hat的方法,这在自己的咨询中表示,即Selinux不会减轻这个问题。
Ludwig表示,Google为此缺陷创建的修复程序,“将在2016年3月1日或更大的安全补丁级别的所有设备上进行。”
然而,这一并不是“T迫使制造商将其整合到3月1日甚至在旧设备上。他们刚刚赢得了在这些设备上宣传3月1日的补丁水平。
补丁级别本质上是在“关于手机”下的Android“S设置中显示的日期字符串,这表示固件包含此日期的所有Android安全修补程序。它只存在于较新版本的Android中。