Ο ÎυχτοφÏλακας
Οι χάκερ θα μπορούσαν να εκμεταλλευτούν εξ αποστάσεως τα τρωτά σημεία με πολλούς τρόπους, συμπεριλαμβανομένης της αποστολής μηνυμάτων MMS και της απαγόρευσης των χρηστών να παίξουν
Αυτές είναι οι τελευταίες σε μια σειρά κρίσιμων τρωτών σημείων που εντοπίστηκαν και αναδιπλώθηκαν στα στοιχεία αναπαραγωγής πολυμέσων του Android από τον Ιούλιο, όταν μια ευπάθεια σε μια βιβλιοθήκη που ονομάζεται Stagefright οδήγησε σε μια σημαντική συντονισμένη προσπάθεια επιδιόρθωσης από τους κατασκευαστές συσκευών Android η Samsung και η LG εισήγαγαν μηνιαίες ενημερώσεις ασφαλείας.
Στην πραγματικότητα, τρία άλλα ελαττώματα που έχουν καθοριστεί σε αυτή τη νέα ενημερωμένη έκδοση που χαρακτηρίζονται ως υψηλή σοβαρότητα βρίσκονται στο mediaserver, libstagefright και libmedia - όλα τα στοιχεία επεξεργασίας πολυμέσων. Τα υπόλοιπα δύο τρωτά σημεία βρίσκονται στα στοιχεία Bluetooth και τηλεφωνίας.Η Google σημειώνει ότι η εκτίμησή της για τη σοβαρότητα δεν λαμβάνει υπόψη τους μετριασμούς που δυσχεραίνουν την εκμετάλλευση τέτοιων ατελειών. Περιλαμβάνουν τις υπηρεσίες Verify Apps και SafetyNet που παρακολουθούν πιθανές βλαβερές εφαρμογές, απενεργοποιώντας την αυτόματη επεξεργασία μέσων σε εφαρμογές όπως το Google Hangouts και Messenger και τις τεχνικές κατά της εκμετάλλευσης που υπάρχουν σε νεότερες εκδόσεις του Android
Οι ενημερώσεις που κυκλοφόρησαν τη Δευτέρα αποτελούν μέρος του πρόσφατα εισαγόμενου μηνιαίου κύκλου εμπλοκής και είναι διαθέσιμες για συσκευές Nexus που χρησιμοποιούν τόσο Android 5.1 (Lollipop) όσο και 6.0 (Marshmallow). Ο πηγαίος κώδικας για τις ενημερώσεις κώδικα θα προστεθεί επίσης στο πρόγραμμα Android Open Source Project (AOSP) για τις επόμενες 48 ώρες.
Τα πιο σοβαρά ελαττώματα που καλύπτονται σε αυτήν την έκδοση παρακολουθούνται ως CVE-2015-6608 και CVE-2015-6609 , και βρίσκονται στο συστατικό mediaserver και libutils του Android, αντίστοιχα. Και οι δύο αδυναμίες μπορούν να αξιοποιηθούν εξ αποστάσεως μέσω ειδικών αρχείων πολυμέσων.
Τα Patches που περιλαμβάνονται σε νέες εικόνες firmware που κυκλοφόρησαν τη Δευτέρα για τις συσκευές Nexus της εταιρείας θα δημοσιευτούν επίσης στο Android Open Source Project μέσα στις επόμενες 24 ώρες
Περιλαμβάνουν μια επιδιόρθωση για μια ευπάθεια που προειδοποίησε η Google πριν από δύο εβδομάδες και η οποία ήδη εκμεταλλεύεται μια δημόσια διαθέσιμη εφαρμογή ριζοβολίας. Παρακολούθησε ως CVE-2015-1805, το ελάττωμα κλιμάκωσης προνομίων αρχικά είχε καθοριστεί στον πυρήνα του Linux τον Απρίλιο του 2014, αλλά δεν κατέστη σαφές μέχρι τον Φεβρουάριο του τρέχοντος έτους ότι επηρεάζει και το Android.