Il sistema di aggiornamento mensile di Google continua a offrire importanti correzioni alle vulnerabilità che molte persone non sanno che sono mai esistite in Android e l'elenco di marzo include 19 problemi in tutto il sistema operativo. Questi aggiornamenti sono classificati come Moderato, Alto o Critico nella loro gravità e insieme all'aggiornamento rilasciato per risolvere questi problemi è una spiegazione dettagliata di ciò che viene corretto. Come spesso accade con questi aggiornamenti mensili, i contributi provengono da tutto il mondo e dai team di sicurezza interni di Google per garantire che Android stia sempre migliorando.
Ecco cosa devi sapere sulle correzioni rese disponibili nel Livello di sicurezza 01 marzo 2016 e su quando il tuo telefono o tablet riceverà l'aggiornamento.
L'aggiornamento di marzo per Android risolve sei problemi critici, otto problemi importanti e due problemi moderati. Questi includono vulnerabilità legate all'acquisizione di privilegi più elevati, vulnerabilità nell'esecuzione di codice in modalità remota, vulnerabilità di negazione del servizio in remoto e vulnerabilità di bypass della mitigazione in tutto il sistema operativo. Il più significativo di questi problemi, secondo Google, era una vulnerabilità legata all'esecuzione di codice in modalità remota rilevata in Mediaserver e libvpx. Questi problemi avrebbero potuto consentire a terzi di utilizzare supporti MMS o supporti di riproduzione del browser per eseguire codice sul telefono o sul tablet mediante un file appositamente predisposto che si comportava in modo dannoso anziché limitarsi a riprodurre i media. Google ha rilasciato correzioni per Android 4.4.4 per risolvere questi problemi.
Come spesso accade con questi aggiornamenti, Google afferma che non esistono prove di attacchi attivi che utilizzano queste vulnerabilità.
In questo aggiornamento sono state anche affrontate le vulnerabilità legate all'acquisizione di privilegi più elevati nei driver MediaTek e nei componenti delle prestazioni di Qualcomm, nonché in Mediaserver e Keyring. Se sfruttate, queste vulnerabilità avrebbero potuto consentire di accedere a più di quanto l'app fosse stata autorizzata ad accedere. Lo stesso vale per le vulnerabilità legate alla divulgazione di informazioni in telefonia, libstagefright, WideVine e Android Kernel, solo invece di accedere a più funzioni del sistema un'app dannosa avrebbe potuto accedere a un numero maggiore di informazioni rispetto a quelle concesse all'utente.
Come spesso accade con questi aggiornamenti, Google afferma che non esistono prove di attacchi attivi che utilizzano queste vulnerabilità. Le immagini per telefoni e tablet Nexus contenenti questo aggiornamento di marzo sono ora disponibili sul sito di Google Developers, con aggiornamenti Over-The-Air previsti entro la settimana. Google ha fornito questi aggiornamenti a tutti i loro partner Android almeno 30 giorni fa e le aziende che si sono impegnate a fornire aggiornamenti di sicurezza il più rapidamente possibile - come BlackBerry che sta già spedendo l'aggiornamento di marzo su Priv - descriveranno in dettaglio i loro piani di aggiornamento appena possono.
