6月份发布的Android安全补丁解决了来自几家芯片组制造商的各种硬件组件在系统驱动上的近24个漏洞。
高通视频驱动程序、声音驱动程序、GPU驱动程序、Wi-Fi驱动程序和摄像头驱动程序中修复的关键和高严重性缺陷最多。其中一些特权升级漏洞可能允许恶意应用程序在内核中执行恶意代码,从而导致永久性设备损坏。
Broadcom Wi-Fi驱动程序、NVIDIA摄像头驱动程序和联发科电源管理驱动程序也修复了类似的高风险缺陷。这些漏洞可以让常规应用程序访问它们不应该拥有的特权或系统设置。在某些情况下,这些缺陷允许内核代码执行,但前提是攻击者先破坏另一个服务来与易受攻击的驱动程序通信。
这些缺陷是对芯片组制造商的一个警告,他们应该花更多的精力来测试他们的代码,这些代码通常由运行在操作系统最特权区域的驱动程序组成。
除了为几个芯片组制造商的各种硬件组件修复系统驱动程序中的21个漏洞外,谷歌还修复了mediaserver组件中的十几个漏洞。
mediaserver修复了一个关键的、12个高风险的和一个中等的缺陷。mediaserver是Android上处理音频和视频文件的组件。在过去的一年里,谷歌一直在努力加强媒体服务。
在libwebm中修补了一个关键的漏洞,它允许应用程序在具有特殊权限的mediaserver进程上下文中执行代码。
另外,SD卡仿真层修复了一个高危缺陷,框架UI修复了一个中等缺陷,activity manager修复了一个。
周一,谷歌发布了最新的Android固件镜像,并通过网络更新了其支持的Nexus设备:Nexus 5、Nexus 5X、Nexus 6和Nexus 6P。该公司还在5月2日通知了设备制造商这些问题,以便他们准备自己的固件更新。
补丁将在未来48小时内发布到Android开源项目(AOSP),以便社区开发的Android固件和其他依赖于AOSP代码的项目能够集成它们。