BlackBerry закрыла уязвимости в BlackBerry Priv

DSC_0143 (3) copy

7 марта, BlackBerry начала развертывать мартовское обновление безопасности для владельцев BlackBerry Priv. Усовершенствования касающиеся безопасности пока не раскрывались, но теперь, когда Google опубликовала Бюллетень по безопасности за март 2016 года, мы получили возможность увидеть список закрытых уязвимостей.

В соответствии с информацией Google, отчеты о использовании этих уязвимостей отсутствуют. Как сообщалось ранее, BlackBerry планирует выпуск ежемесячных обновлений безопасности Android, до сих пор, все обновления для Priv выходили раньше аналогичных обновлений для смартфонов Nexus.

Обновление уже начало поступать на смартфоны, купленные в ShopBlackBerry и некоторых операторов. Пока не известно, в какой последовательности будет разворачиваться обновление, но мой BlackBerry Priv STV100-4 из Великобритании, получил 17,2 МБ обновления сегодня, во второй половине дня.

Вот список закрытых уязвимостей в мартовском обновлении:

Уязвимость удаленного выполнения кода в MediaServer — Специально созданный файл, используя уязвимость в MediaServer мог позволить злоумышленнику вызвать повреждение памяти и удаленное выполнение кода как процесса MediaServer. Риску подвергалась функциональность, как основной части операционной системы, так и нескольких приложений, которые могли быть атакованы удаленным содержимым, особенно MMS и браузера воспроизведения медиафайлов. — CVE-2016-0815, CVE-2016-0816

Уязвимость удаленного выполнения кода в libvpx — Во время обработки данных специально сформированного файла, уязвимость в MediaServer могла позволить злоумышленнику вызвать повреждение памяти и инициировать удаленное выполнение кода в контексте службы Mediaserver. Служба MediaServer имеет доступ к аудио и видео потокам, а также доступ к привилегиям, к которым сторонние приложения обычно не имеют доступа. — CVE-2016-1621

Повышение привилегий в Conscrypt — Уязвимость в Conscrypt может позволить использовать определенный тип некорректного сертификата. Это может позволить перехватить информацию. Эта проблема оценивается как критической тяжести в связи с возможностью повышения привилегий и удаленного выполнения произвольного кода. — CVE-2016-0818

Повышение привилегий в компоненте Qualcomm Performance может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Эта проблема оценивается как критическая, в связи с возможностью локальной компрометации устройства, и устройство может быть восстановлено только путем перепрошивки операционной системы. — CVE-2016-0819

Повышение привилегий в ядре Keyring может позволить локальному вредоносному приложению выполнить произвольный код в ядре. Эта проблема оценивается как критическая, в связи с возможностью локальной компрометации устройства, и устройство может быть восстановлено только путем перепрошивки операционной системы.Тем не менее, в Android версии 5.0 и выше, правила SELinux предотвращают возможность повреждения кода сторонними приложениями. — CVE-2016-0728

Повышение привилегий в Mediaserver может позволить локальному вредоносному приложению выполнить произвольный код с правами системного приложения. Эта проблема оценивается как высокой тяжести, потому что она может быть использована, чтобы получить такие возможности, как привилегии подписи или системных разрешений, которые не доступны для сторонних приложений. — CVE-2016-0826, CVE-2016-0827

Риск раскрытия информации в Mediaserver — уязвимость раскрытия информации в Mediaserver, во время передачи данных могла разрешить обход мер безопасности. — CVE-2016-0828, CVE-2016-0829

Риск раскрытия информации в компоненте телефонии может позволить приложению получить доступ к конфиденциальной информации. Эта проблема оценивается, как средней степени тяжести, поскольку она может быть использована чтобы получить доступ к данным без разрешения. — CVE-2016-0831

Уязвимость в мастере установки может позволить злоумышленнику, который имеет физический доступ к устройству, получить доступ к настройкам устройства и выполнить сброс устройства вручную. Эта проблема оценивается как средней степени тяжести, так как она может быть использована чтобы обойти защиту возврата к заводским настройкам. — CVE-2016-0832

Когда обновление станет доступным для PRIV, вот как вы сможете установить его:

Подключитесь к сети Wi-Fi перед загрузкой обновления для того, чтобы избежать ненужных расходов на передачу данных.
Найдите уведомление об обновлении в центре уведомлений телефона. Вы также можете проверить наличие обновлений программного обеспечения, перейдя в Настройки -> О телефоне -> Обновление системы и нажав кнопку «Проверить наличие обновлений».
Выберите, применить обновление, и оно будет скачано в фоновом режиме. Вы можете продолжать использовать ваш PRIV в то время как он делает это.
Перезагрузите телефон, чтобы завершить процесс установки.

Больше подробностей о новом устройстве BlackBerry на базе Android вы можете найти на нашем сайте в рубрике BlackBerry Priv.

В России, вы можете купить BlackBerry Priv в нашем интернет магазине Store.BlackBerries.ru.

Добавить комментарий