05.08.2015 22:05
esetnod32 38 17546 Источник
Компания Google сегодня объявила о выпуске долгожданного для пользователей Android обновления, которое исправляет набор печально известных Remote Code Execution уязвимостей под общим названием Stagefright (Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities). Stagefright позволяла атакующим удаленно исполнять код на устройстве с максимальными правами в системе через отправку жертве специальным образом сформированного MMS-сообщения, причем пользователю даже не требовалось открывать его.



Google также указала, что Android будет обновляться ежемесячно и для него будут регулярно выходить обновления, закрывающие security-уязвимости (Monthly Over-the-Air Android Security Updates). Известно, что первыми такими обновления получают устройства самой Google, т. е. серии Nexus. Далее, на плечи производителей других устройств ложится ответственность за обновление выпущенных ими устройств.

Одновременно с Google, компания Samsung уведомила пользователей своих устройств о том, что их пользователи также будут получать соответствующие обновления Android сразу после их выхода, таким образом, делая особый акцент на обеспечение безопасности своих пользователей.

With the recent security issues, we have been rethinking the approach to getting security updates to our devices in a more timely manner. Since software is constantly exploited in new ways, developing a fast response process to deliver security patches to our devices is critical to keep them protected. We believe that this new process will vastly improve the security of our devices and will aim to provide the best mobile experience possible for our users.

Samsung.

Очевидно, что последней каплей, подтолкнувшей вендоров к принятию такого решения, послужил факт обнаружения уязвимостей Stagefright, которые позволяют удаленно исполнять код в системе путем отправки сообщений, что является огромным риском для пользователей, поскольку, злоумышленники могут получить полный контроль за скомпрометированным устройством.

Google уже разослала соответствующие исправления для Stagefright производителям мобильных устройств, которые работают под управлением Android. Обновлению подлежат такие устройства как Google Nexus 5, Nexus 6; Samsung Galaxy S5, S6, S6 Edge, Note Edge; HTC One M7, One M8, One M9; LG Electronics G2, G3, G4; Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact.

image
be secure.

Комментарии (38)


  1. kacang
    06.08.2015 04:55
    #8526961

    прошел по линку, а где патч то? Или надо полное обновление делать?


  1. ls1
    06.08.2015 06:22
    #8526973
    +7

    Обновлению подлежат такие устройства… Samsung Galaxy S5, S6...
    То есть более старые (S4 к примеру) всё же не планируют обновлять?


    1. Aingis
      06.08.2015 14:09
      #8527473
      +1

      Что называется, сравните с Apple, они даже iPhone 4s обновляют, это уже как минимум пять лет поддержки! (iOS 5–9, включительно)


      1. ls1
        06.08.2015 14:36
        #8527497
        -2

        Думаю, в плане культуры распространения обновлений безопасности Samsung сливает не только в сравнение с Apple, но и с тем же Microsoft. Всё же MS и Ябл это эксперты в производстве и сопровождение ПО, а Samsung — выскочки, решившие завалить мир дешевыми гаджетами, про безопасность там ни слухом ни духом.


        1. 3vi1_0n3
          06.08.2015 18:22
          #8527831
          +3

          решившие завалить мир ДЕШЕВЫМИ гаджетами

          Да лаааадно


      1. TheSteelRat
        07.08.2015 00:18
        #8528209

        Для Android 2 года обновлений это уже не плохо. Тут лучше смотреть на Google. Они и дольше свои девайсы обновляют.


      1. madkite
        07.08.2015 01:49
        #8528263

        Э… Где вы «как минимум пять лет» насчитали? 3 года 8 месяцев с момента начала продаж в РФ. Ну в штатах на два месяца больше. Это максимум. Вот 4-му айфону действительно 5 лет, но его уже почти год как не поддерживают.


        1. Aingis
          07.08.2015 18:32
          #8529071
          +1

          Так iPhone 4s будет поддерживаться весь цикл жизни iOS 9 — то есть ещё минимум год. Сравните с андроидами, которые, может быть, обновят на одну (!) версию в течение года, и то если считаются флагманами (то есть стоят как последний айфон). Причём, опять же изначальная версия, скорее всего, будет работать менее глючно и тормознуто. (Последняя бета iOS 9, говорят, летает)


          1. madkite
            09.08.2015 01:05
            #8529809

            Именно так, почему бы и нет? iPhone 4s штамповался на протяжение 3 лет миллионами штук. Опреационку разрабатывает та же компания. Логично, что его поддерживать будут долго во имя репутации. Телефонов на Android тысячи моделей и потому ни одна из них не может похвастаться такой популярностью. Опреацинку разрабатывает в основном Google, которая совсем не советуется с каждым производителем телефонов насколько ему будет просто адаптировать каждую следующую версию Android под произведённые аппараты. Свои же Nexus-ы они довольно долго поддерживают и далеко не одним апдейтом в год — сравнимо с iPhone, хотя доля Nexus-ов по сравнению с айфонами мизерна в развитых странах.


    1. wholeman
      08.08.2015 14:28
      #8529609

      Мне на S4 LTE обновление только что пришло. Так что список неполон.


      1. wholeman
        09.08.2015 11:50
        #8529893

        Забавно, что накануне я задал вопрос, когда выйдет обновление, закрывающее эту дыру, в предназначенном для этого разделе на сайте samsung, и сегодня мне ответили, что не могут опубликовать его, потому что он чему-то там не соответствует со ссылкой на правила. Прочитал их три раза, несоответствия не нашёл. Может быть, дело в упоминании Stagefright, которое, естественно, написано по-английски. Или они считают его нецензурным.
        Написали бы, что уже вышло, было б видно, что работают, а так я даже не знаю, закрыли они эту дыру или что-то другое.


  1. Nikobraz
    06.08.2015 06:57
    #8526981
    +16

    Т.е. из-за дырки в безопасности и безразличия производителя моего телефона, мне надо новый покупать?

    В гробу я видал все эти смартфоны. Где ты, моя старая верная Nokia?!


    1. wholeman
      06.08.2015 11:01
      #8527191

      Везёт Вам. Меня уже ни одна из имеющихся Нокий не устроит. Подумываю о Meizu MX с бубунтой.

      Новый телефон поможет лишь на время, пока производитель на него не забьёт и новую дырку не найдут.


      1. madkite
        06.08.2015 13:39
        #8527427

        Если покупать что-то более-менее популярное, то оно довольно долго поддерживается сообществом (кастомные прошивки на xda). И дыры там залатываются оперативнее (например, в cyanogenmod stagefright был пофикшен ещё до его обнародования).


        1. wholeman
          06.08.2015 15:46
          #8527597

          Например, для Galaxy S4 LTE официальной стабильной версии CM нет, да и для S4 просто — только десятый. В нестабильной или неофициальной могут быть свои дыры не меньшего размера.


          1. Beltoev
            06.08.2015 18:33
            #8527857

            Вы серьезно?


            1. wholeman
              07.08.2015 01:18
              #8528243

              Разумеется. Вы там красный текст читали?


              1. Beltoev
                07.08.2015 12:04
                #8528583

                Там как бы сразу предлагают возможное решение. Можно было бы попробовать, предварительно забэкапив стоковую прошивку.

                А так, в этих прошивках всегда есть какие-нибудь мелкие баги, но общего впечатления они обычно не портят


          1. madkite
            07.08.2015 01:30
            #8528251

            Дык… nightly builds цианогена местами надёжнее официальных «стабильных» прошивок, security fix-ы у них в репу попадают моментально, тот stagefright уже давно пофикшен, хотя в стоковых прошивках далеко не везде. Даже неофициальные билды или официальные прошивки других команд на основе cm зачастую надёжнее стоковых (бизнесмены думают прагматично — лучше потратить деньги на рекламу, чем на латание дырок). Вообще у cm загон по секьюрности — там статус официального билда не получишь, например, даже если SELinux не в enforcing mode.


            1. wholeman
              07.08.2015 09:57
              #8528403

              Вы верно заметили, что «местами» и «зачастую». nightly builds — рулетка по определению. Я не подвергаю сомнению железобетонную безопасность официальных билдов CM, но отсутствие такового для конкретного аппарата наводит на мысли, что с ним не всё хорошо. Возможно, дело там не в безопасности, а в чём-то другом, например, по ссылке, которую мне чуть выше кинул Beltoev, сказано, что 2G-интернет работает плохо, а он мне нужен даже больше, чем безопасность MMS.


              1. madkite
                09.08.2015 01:14
                #8529815

                Вот потому при выборе телефона стоит обращать внимание не только на хардварную составляющую, а и на наличие прошивок. Слава богу, список поддерживаемых девайсов тем же cm-ом не маленький.


                1. wholeman
                  09.08.2015 11:34
                  #8529887

                  К сожалению, CM тоже прекращает поддержку устройств. Например, Sony Acro S имеет официальную стабильную версию CM10 2012 года выпуска и всё. Есть подозрение, что дыра Stagefright там присутствует.


    1. Beltoev
      06.08.2015 13:08
      #8527383
      +2

      По-моему, самому прошить телефон под новый андроид проще, чем купить новый


    1. hoxnox
      06.08.2015 20:10
      #8527989

      Пойду еще разок занесу ребятам из cyanogenmod и продолжу пользоваться своим старым верным SGS-III


  1. Dal
    06.08.2015 07:36
    #8526995
    +6

    Как купил HTC, ни одного обновления.


    1. orosz
      06.08.2015 08:47
      #8527025

      Huawei Honor 4x, к сожалению, никогда не получит обновлений.
      На форуме 4Pda, владельцы Huawei MediaPad 10* LTE, в свое время пытались писать обращения в FB, в Twitter, но Huawei проигнорировал все призывы.


      1. TheRaven
        06.08.2015 09:14
        #8527049

        У меня Honor 4x. Писал в саппорт Huawei после статьи о вышеуказанной уязвимости:

        Здравствуйте.
        Подскажите пожалуйста, когда ждать обновления ПО закрывающее обнаруженные недавно уязвимости библиотеки libstagefright? Идентификаторы уязвимости:
        CVE-2015-1538
        CVE-2015-1539
        CVE-2015-3824
        CVE-2015-3826
        CVE-2015-3827
        CVE-2015-3828
        CVE-2015-3829

        Более подробно о уязвимости: blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android


        Добрый день!

        Благодарим Вас за обращение в службу поддержки компании Huawei!

        Предварительная дата выхода обновлений на Android 5.x — конец лета сего года.


        1. orosz
          06.08.2015 09:34
          #8527073

          Надеюсь, в сентябре получим обновления.


      1. POPSuL
        07.08.2015 10:07
        #8528423

        Сейчас для Honor 4c/4x в бета-тесте 5.1. Обещают что 12 августа закончится бета-тест, и скорее всего прошивка будет доступна нам.
        Но если вам так сильно хочется пострелять себе в ноги — пожалуйста: m.huawei.com/mymobile/consumer/support/downloads/index.htm Там лежит файлик Honor 4X (Che2-L11)Firmware C636B302 _Android 5.1_EMUI 3.1 (Beta) :)


  1. Juster
    06.08.2015 07:41
    #8527001
    +1

    эх, а Nexus 4 больше не обновляется? Он всё еще хорош


    1. artspb
      06.08.2015 09:01
      #8527035
      +2

      Nexus devices have always been among the first Android devices to receive platform and security updates. From this week on, Nexus devices will receive regular OTA updates each month focused on security, in addition to the usual platform updates. The first security update of this kind began rolling out today, Wednesday August 5th, to Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9, Nexus 10, and Nexus Player.

      Без паники, 4-ку тоже обновят.


      1. sly_ru
        12.08.2015 14:34
        #8533045

        android.googleapis.com/packages/ota/google_mako/d49d67c5d67350a2c0f98ef8e75617cfafcd7472.signed-occam-LMY48I-from-LMY47V.d49d67c5.zip вот для Nexus 4


  1. AxisPod
    06.08.2015 08:21
    #8527015
    +5

    А почему я в это не верю? Наверное потому что для Note 3, 5.0 пилили, пилили, пилили, а напилили более чем через пол года после релиза, при этом как баги с блутусом были на первой утечке, так они и в релизе остались, как был баг со стилусом, так и есть. Опять же обещали выпустить сразу 5.1 и где она, а её нет и по ходу ждать даже и не стоит.


    1. fshp
      06.08.2015 14:24
      #8527483
      +1

      С Zenfone такая же беда, в третий раз сдвигают дату (на полгода уже сдвинули), а воз и ныне там.


    1. Valery4
      08.08.2015 20:07
      #8529693

      Угу. «И эти люди запрещают мне ковырять в носу?,».
      Для Note 4 обещали 5.1.1 в конце июля.


  1. artspb
    06.08.2015 09:00
    #8527031
    +1

    Обновлению подлежат такие устройства как Google Nexus 5, Nexus 6; Samsung Galaxy S5, S6, S6 Edge, Note Edge; HTC One M7, One M8, One M9; LG Electronics G2, G3, G4; Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact.

    Можно поинтересоваться, откуда этот список?


  1. Sp0tted_0wl
    06.08.2015 11:25
    #8527221

    На Nexus 5 ничего не прилетало еще.


    1. sly_ru
      12.08.2015 14:32
      #8533037

      android.googleapis.com/packages/ota/google_hammerhead/1207c77de4a606e3407a6a863f08f3148e074fe8.signed-hammerhead-LMY48I-from-LMY48B.1207c77d.zip вот для Nexus 5 обновление. Скоро должно придти по воздуху