October security patch rolling out to Google Pixel, factory images & OTAs live
— Oct. 5th 2020 10:08 am PT
Following last month’s launch, the first update to Android 11 is rolling out today with the October security patch. It’s available for the Pixel 2, Pixel 3, Pixel 3a, Pixel 4, and Pixel 4a.
With Android 11 last month, Google dropped the latest Pixel Feature Drop. Location Sharing in Google Maps Live View was the highlight, while the company re-touted several features spotted during the Developer Preview/Beta cycle: Smart Replies in Gboard’s suggestions row when using chat apps, app suggestions in Pixel Launcher dock, automatic folder naming, Recents multitasking redesign, new screenshot corner pop-up, and other “Overview Actions.”
There are 20 issues resolved in the October security patch dated 2020-10-01 with two additional Mainline updates and 28 for 2020-10-05. Vulnerabilities range from high to critical, with the most severe relating to the media framework and a remote attacker possibly executing arbitrary code through a crafted file.
In the Android Security & Privacy 2018 Year in Review, Google notes that “no critical security vulnerabilities affecting the Android platform were publicly disclosed without a security update or mitigation available for Android devices.” Additionally, there was an 84% year-over-year jump in security patches during Q4 2018 compared to the prior year.
- Pixel 4a: Android 11 — RP1A.201005.006 — Factory Image — OTA
- Pixel 4 XL: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 4: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 3a XL: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 3a: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 3 XL: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 3: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 2 XL: Android 11 — RP1A.201005.004 — Factory Image — OTA
- Pixel 2: Android 11 — RP1A.201005.004 — Factory Image — OTA
FTC: We use income earning auto affiliate links. More.
Источник
В Android устранили более 50 уязвимостей
Linux для хакера
Октябрьские патчи для Android устранили в мобильной ОС Google более 50 уязвимостей, серьезность которых варьируется от высокой до критической.
Так, десять проблем были устранены на уровне безопасности 2021-10-01. Самая серьезная из них была обнаружена в компоненте System и может быть использована для удаленного выполнения кода.
Также на уровне 2021-10-01 были исправлены: проблемы с высокой степенью серьезности в Android Runtime (повышение привилегий), Framework (три повышения привилегий, два раскрытия информации и одна проблема отказа в обслуживании), Media Framework (повышение привилегий) и в System (раскрытие информации).
Вторая часть патчей, на уровне 2021-10-05, устранила 41 уязвимость, три из которых были отмечены как критические. Наиболее серьезной из них является RCE-баг в компоненте System. Отслеживаемая как CVE-2021-0870, эта уязвимость затрагивает Android 8.1, 9, 10 и 11.
«Самая серьезная из этих проблем — критическая уязвимость в компоненте System которая может позволить удаленному злоумышленнику, использующему специально подготовленную передачу, выполнить произвольный код в контексте привилегированного процесса», — пишут разработчики Google.
Помимо перечисленного, к наиболее заметным багам этого месяца можно отнести уязвимость CVE-2020-11264, критическую ошибку, влияющую на компонент WLAN Qualcomm и касающуюся приема фреймов, отличных от EAPOL/WAPI, от неавторизованных пиров. Еще одни критическим багом была признана проблема CVE-2020-1130, которая влияет на компонент WLAN Qualcomm и связана с приемом незашифрованных фреймов (открытым текстом) в защищенных сетях.
Остальные 40 проблем влияют на компоненты ядра (три повышения привилегий и два раскрытия информации), Telecommunication (раскрытие информации), компоненты Qualcomm (два критических бага и одиннадцать высокой степени серьезности), а также компоненты Qualcomm с закрытым исходным кодом (еще 21 недостаток высокой степени серьезности).
Источник
Android october security patch
28-09-2021 09:18 AM — last edited 28-09-2021 09:24 AM ) in
Standby for 42 more identical threads on this subject!
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
28-09-2021 04:11 PM in
@ironass If we lucky only 21 
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
29-09-2021 09:47 AM — last edited 29-09-2021 09:56 AM ) in
The AUIE October Android Security update is now available for stock, (Non carrier branded), Samsung S21 devices in the U.K. with CSC code BTU .
No news, so far, on the following U.K. carrier branded devices and CSC codes.
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
29-09-2021 10:57 AM in
Samsung AUIE update.
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
29-09-2021 05:05 PM in
I confirm that i have received the security patch for the S21 Ultra OTA . Apparently a digital key feature in South Korea https://newsupdate.uk/samsung-galaxy-s21-update-will-let-users-unlock-cars-with-phones-report/South .
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
29-09-2021 05:24 PM in
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
30-09-2021 03:14 PM — last edited 30-09-2021 03:15 PM ) in
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Highlight
- Email to a Friend
- Report Inappropriate Content
01-10-2021 12:46 PM — last edited 01-10-2021 12:49 PM ) in
The AUIE update is now being rolled out to U.K. users on the carrier branded phones for Vodafone with CSC code VOD .
No news, so far, on the following U.K. carrier branded devices and CSC codes.
I wonder how many duplicate threads we will see on this!
Источник
Android october security patch
При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).
Однако, многие из вас слышали о ситуации, когда устройство под управлением android перестало обновляться, а это значит, что оно стало более уязвимо для атак хакеров, но не спешите отчаиваться — замена устаревшего устройства на другое — не всегда единственный выход.
К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/
Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)
И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.
Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.
Сообщение отредактировал konstantinqq — 08.02.20, 22:21
(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.
Сообщение отредактировал konstantinqq — 08.02.20, 22:06
кто знает как на миюи обновить патч безопасности андроид?
Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?
Если уж вопрос был удален, то что и о создании темы говорить?
Но есть и плюс — можно свободно обсуждать, если это касается темы.
Поэтому начну — был у меня mi 9 с миюи и 10 андроидом, но обновлениями безопасности занимался там не плей маркет, а сяоми, из за чего рассчитывать на своевременные обновления патчей безопасности не приходилось)
Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?
Сообщение отредактировал konstantinqq — 08.02.20, 20:30
Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять
Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме
Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson
А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.
Всплывают нюансы, и как во всем этом разобраться?
Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.
Сообщение отредактировал konstantinqq — 08.02.20, 21:49
Если честно, понятия не имею)
Может быть по шаблону, подобно тому, как их делает сам производитель.
Ну то есть анализируется вендор, систем, и данные которые касаются патча безопасности.
При этом, существует пользовательская база, где пользователи условно выбирают алгоритм патча — ну к примеру для патча родного миюи или для патча ми еу кастома, и далее скрипт скачивает из репозитория нужные файлы, собирает прошивку, и вот она, только прошей через тврп.
Все.
Ps голосование такое потому что если 2018 и старше — значит производители перестали поддерживать телефон.
Сообщение отредактировал konstantinqq — 08.02.20, 22:35
fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.
А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.
Другое дело что андроид сама по себе уязвимая система — дай любой программе доступ к файлам, и вот уже можно все не системные файлы передавать кому угодно на оригинальном устройстве, без рутов и прочего.
Про разблокированный загрузчик тоже могу не много сказать — о том что нет способов на 4пда (я не встречал для новых устройств) без Рута модифицировать системные разделы, т. Е. Чтобы разблокированный загрузчик стал подспорьем ко взлому телефона, надо иметь бекдор позволяющий получить полные права на просмотр и изменение. А бекдоры как раз и устраняются патчами безопасности.
Сам по себе разблокированный загрузчик лишь снимает один слой защиты от изменения системных файлов, а именно проверку при загрузке. И то не всегда (ARB например или кирпич по схожим причинам на redmi note 8 pro даже разработчики кастом ромов бессильны обойти без авторизованного производителем edl аккаунта, хотя казалось бы, китайский телефон на МТК).
После размышлений могу и про TWRP оставить комментарий:
Чтобы сделать его применение безопасным, надо от него отделаться — то есть после установки всего необходимого, зашифровать раздел с данными сложным паролем, и удалить или запоролить TWRP, чтобы если кто найдет потерянный телефон не смог стянуть с него данные.
Судя по тому, что подобной темы на 4пда не было, и по текущей популярности этой темы — безопасность удел тех, кому есть что терять. Остальных же, похоже это мало волнует, на уровне «купи айфон» или используй антивирус на флагмане известной фирмы. Справедливо некоторые говорят «кому вы нужны со своими котиками».
Сообщение отредактировал konstantinqq — 20.02.20, 14:42
Источник
