Androidin elokuun päivityspaketti julkaistu

Android-käyttöjärjestelmälle on julkaistu päivityspaketti, joka korjaa yhteensä 101 haavoittuvuutta. Vakavimmat haavoittuvuudet on luokiteltu kriittisiksi. Google on julkaisut päivitykset Nexus-sarjan laitteille sekä Androidin avoimen lähdekoodin versioon (AOSP). Päivitykset on myös jaettu laitevalmistajaille sisällytettäväksi näiden omiin Android-versioihin.

Päivitykset korjaavat useita krittisiä haavoittuvuuksia Mediaserver-kirjastossa sekä Qualcomm- ja Conscrypt-komponenteissa. Vakavimmat haavoittuvuudet voivat mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä käsiteltäessä mediatiedostoja sähköpostin, www-selailun tai MMS-viestien kautta.

Päivitys 8.8.2016: Tietoturvayhtiö Checkpoint on 7.8.2016 julkaissut neljä haavoittuvuutta liittyen Android-puhelimissa käytettyihin Qualcommin piirisarjoihin. Androidin aiemmat päivitykset korjaavat näistä kaksi. Vielä korjaamattomiin haavoittuvuuksiin on luvattu päivitys syyskuun päivityspaketin mukana. Haavoittuvuuksien onnistunut hyväksikäyttäminen mahdollistaa hyökkääjän käyttövaltuuksien kohottamisen pääkäyttäjän tasolle.

Haavoittuvuuksien hyväksikäyttäminen edellyttää, että käyttäjä asentaa päätelaitteelleen hyväksikäyttömenetelmän sisältämän haitallisen sovelluksen. Käyttäjien tuleekin kiinnittää huomiota siihen, että ohjelmistoja asennetaan vain virallisesta Google Play -kaupasta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuvuudet on korjattu 5.8.2016 päivätyssä Android security patch level -versiossa (tietoturvan koontiversio).

Version voi tarkistaa Android-puhelimesta Asetukset-sovelluksen alla olevasta Tietoja puhelimesta -osiosta.

Mikäli tietoturvan koontiversion päiväys on vanhempi kuin 05.08.2016, on laite haavoittuva nyt julkaistuille päivityksille. Mikäli laitteesta ei löydy tietoa Android security patch level -versiosta, on laiteessa todennäköisesti käytössä vanha Android-versio ja se on myös tällöin haavoittuva. 1.8.2016 päivätty koontiversio sisältää korjaukset osaan mainituista haavoittuvuuksista.

Tarkemmat tiedot eri haavoittuvuuksista ja niitä koskevista Android versioista löytyy lisätietoja-kohdan CVE-linkeistä. Samsungin Android-puhelimien osalta valmistaja julkaisee listaa tuetuista puhelimista ja niiden päivityksistä.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä Android-käyttöjärjestelmä valmistajan ohjeiden mukaan, jos päivitys on saatavilla. Uudet Android-versiot tarjoavat päivityksen automaattisesti käyttäjälle kun se on saatavilla. Päivitys on syytä asentaa viipymättä.

Mikäli käytössä on laite, jolle tietoturvapäivityksiä ei julkaista, kannattaa laitteen turvallisuutta lisätä jollakin Google Play -kaupasta saatavissa olevalla tietoturvaohjelmistolla.

Lisätietoa:


Päivityshistoria

Asiasanat: Tietoturva , Matkapuhelin , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248