Logo hi.androidermagazine.com
Logo hi.androidermagazine.com
» समाचार
समाचार

एंड्रॉइड एप्रिल 2 सुरक्षा पैच लाइव है - यहां उन विवरण हैं जिन्हें आपको जानना आवश्यक है

एंड्रॉइड एप्रिल 2 सुरक्षा पैच लाइव है - यहां उन विवरण हैं जिन्हें आपको जानना आवश्यक है

विषयसूची:

Anonim

Google ने एंड्रॉइड के लिए 2 अप्रैल के सुरक्षा पैच के आसपास के विवरण जारी किए हैं, कई हफ्तों पहले बुलेटिन में वर्णित मुद्दों को पूरी तरह से कम करने के साथ-साथ एक गंभीर या अन्य महत्वपूर्ण और मध्यम मुद्दों को भी जारी किया है। यह पिछले बुलेटिनों से थोड़ा अलग है, Android में उपयोग किए गए लिनक्स कर्नेल के संस्करणों 3.4, 3.10 और 3.14 में विशेषाधिकार वृद्धि के जोखिम पर विशेष ध्यान दिया गया है। हम चर्चा करेंगे कि पृष्ठ को और नीचे करें। इस बीच, इस महीने के पैच के बारे में आपको जो कुछ भी जानना है उसका टूटना है।

अपडेट की गई फर्मवेयर छवियां अब Google डेवलपर साइट पर वर्तमान में समर्थित Nexus उपकरणों के लिए उपलब्ध हैं। एंड्रॉइड ओपन सोर्स प्रोजेक्ट में इन परिवर्तनों को संबंधित शाखाओं में रोल आउट किया गया है, और 48 घंटों के भीतर सब कुछ पूर्ण और सिंक्रनाइज़ हो जाएगा। वर्तमान में समर्थित नेक्सस फोन और टैबलेट के लिए हवाई अपडेट जारी हैं, और मानक Google रोलआउट प्रक्रिया का पालन करेंगे - आपके नेक्सस पर पहुंचने में एक या दो सप्ताह लग सकते हैं। सभी भागीदार - इसका मतलब है कि जिन लोगों ने ब्रांड की परवाह किए बिना आपके फोन का निर्माण किया है, उन्हें 16 मार्च 2016 तक इन सुधारों तक पहुंच प्राप्त है, और वे अपने स्वयं के व्यक्तिगत शेड्यूल पर उपकरणों की घोषणा और पैच करेंगे।

संबोधित किया जाने वाला सबसे गंभीर मुद्दा एक भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय दूरस्थ कोड निष्पादन की अनुमति दे सकती है। ये फाइलें आपके फोन पर किसी भी तरह से भेजी जा सकती हैं - ईमेल, वेब ब्राउजिंग एमएमएस या इंस्टेंट मैसेजिंग। पैच किए गए अन्य महत्वपूर्ण मुद्दे डीएचसीपी क्लाइंट, क्वालकॉम के प्रदर्शन मॉड्यूल और आरएफ चालक के लिए विशिष्ट हैं। ये कारनामे कोड को चलाने की अनुमति दे सकते हैं जो स्थायी रूप से डिवाइस फर्मवेयर से समझौता करता है, जिससे अंतिम उपयोगकर्ता को पूर्ण ऑपरेटिंग सिस्टम को फिर से फ्लैश करने की आवश्यकता होती है - यदि "मंच और सेवा शमन विकास के प्रस्तावों के लिए अक्षम हैं।" यह अज्ञात-स्रोत से एप्लिकेशन इंस्टॉल करने और / या OEM अनलॉकिंग की अनुमति देने के लिए सुरक्षा-निरर्थक बात है।

पैच किए गए अन्य कमजोरियों में फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने के तरीके भी शामिल हैं, जिन मुद्दों पर सेवा हमलों से इनकार करने की अनुमति दी जा सकती है, और वे मुद्दे जो रूट के साथ उपकरणों पर कोड निष्पादन की अनुमति देते हैं। आईटी पेशेवर भी मेल और ActiveSync मुद्दों को देखकर खुश होंगे जो इस अपडेट में "संवेदनशील" जानकारी तक पहुंच की अनुमति दे सकते हैं।

हमेशा की तरह, Google हमें यह भी याद दिलाता है कि इन मुद्दों से प्रभावित होने वाले उपयोगकर्ताओं की कोई रिपोर्ट नहीं है, और उनके पास इन और भविष्य के मुद्दों से पीड़ितों को डिवाइस को रोकने में मदद करने के लिए एक अनुशंसित प्रक्रिया है:

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सिक्योरिटी टीम वेरिफाइ एप्स और सेफ्टीनेट के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो उपयोगकर्ता को स्थापित किए जाने वाले संभावित हानिकारक अनुप्रयोगों के बारे में चेतावनी देगा। Google Play के भीतर डिवाइस रूटिंग टूल निषिद्ध हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, सत्यापन एप्लिकेशन डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित दुर्भावनापूर्ण एप्लिकेशनों की पहचान और ब्लॉक स्थापना के प्रयासों को सत्यापित करें जो एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो वेरिफाई ऐप्स उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा कि उचित है, Google Hangouts और मैसेंजर एप्लिकेशन मीडिया को मध्यस्थता जैसी प्रक्रियाओं से स्वचालित रूप से पारित नहीं करते हैं।

पिछले बुलेटिन में वर्णित मुद्दों के बारे में

18 मार्च, 2016 को Google ने कई एंड्रॉइड फोन और टैबलेट पर उपयोग किए जाने वाले लिनक्स कर्नेल में मुद्दों के बारे में एक अलग पूरक सुरक्षा बुलेटिन जारी किया। यह प्रदर्शित किया गया था कि एंड्रॉइड में उपयोग किए जाने वाले लिनक्स कर्नेल के संस्करणों 3.4, 3.10 और 3.14 में एक शोषण को स्थायी रूप से समझौता करने की अनुमति दी गई है - जड़, दूसरे शब्दों में - और प्रभावित फोन और अन्य उपकरणों के लिए ऑपरेटिंग सिस्टम के पुन: फ्लैश की आवश्यकता होगी ठीक हो। क्योंकि एक एप्लिकेशन इस शोषण को प्रदर्शित करने में सक्षम था, एक मध्य-महीने का बुलेटिन जारी किया गया था। Google ने यह भी उल्लेख किया है कि नेक्सस उपकरणों को "कुछ दिनों के भीतर" एक पैच प्राप्त होगा। वह पैच कभी भी भौतिक नहीं था, और Google नवीनतम सुरक्षा बुलेटिन में इसका कोई उल्लेख नहीं करता है।

समस्या - CVE-2015-1805 - 2 अप्रैल, 2016 सुरक्षा अद्यतन में पूरी तरह से पैच किया गया है। Android संस्करण 4.4.4, 5.0.2, 5.1.1, 6.0 और 6.0.1 के लिए AOSP शाखाओं को यह पैच मिला है, और स्रोत के लिए रोलआउट चल रहा है।

Google ने यह भी उल्लेख किया है कि जिन उपकरणों को 1 अप्रैल 2016 को एक पैच दिनांक प्राप्त हो सकता है, उन्हें इस विशेष कारनामे के खिलाफ पैच नहीं किया गया है, और केवल 2 अप्रैल 2016 या उसके बाद के पैच स्तर वाले Android डिवाइस चालू हैं।

Verizon Galaxy S6 और Galaxy S6 edge को भेजे गए अपडेट की तारीख 2 अप्रैल, 2016 है और इसमें ये सुधार शामिल हैं।

T-Mobile Galaxy S7 और Galaxy S7 edge को भेजे गए अपडेट की अवधि 2 अप्रैल, 2016 है और इसमें ये सुधार शामिल हैं।

अनलॉक किए गए BlackBerry Priv फोन के लिए AAE298 का ​​निर्माण 2 अप्रैल 2016 को किया गया और इसमें ये सुधार शामिल हैं। यह मार्च, 2016 के अंत में जारी किया गया था।

3.18 कर्नेल संस्करण चलाने वाले फ़ोन इस विशेष समस्या से अप्रभावित हैं, लेकिन फिर भी 2 अप्रैल, 2016 के पैच में संबोधित अन्य मुद्दों के लिए पैच की आवश्यकता होती है।

समाचार

संपादकों की पसंद