Патч безопасности android июнь 2021

Google отправил на свалку истории миллионы устройств с революционным Android

Планшеты и смартфоны на базе Android 4.1-4.3 Jelly Bean больше не будут получать обновления библиотеки Google Play Services. Без нее не смогут работать сервисы Google и многие приложения сторонних разработчиков. На устройства с этой прошивкой приходится около 1% от общей массы Android-гаджетов. Android 4.1 стала важной частью истории системы, за счет гигантского количества нововведений.

Прощание с Jelly Bean

Компания Google объявила о прекращении выпуска обновлений библиотеки Google Play Services для ОС Android версий 4.1-4.3. Она используется для работы различных сервисов Google, в том числе и магазина приложений Play. Также она отвечает за работу многочисленных API-интерфейсов, которые могут использоваться сторонними разработчиками в своих приложениях.

Отказ от выпуска апдейтов Google Play Services означает, что операционки Android 4.1-4.3 с кодовым именем Jelly Bean Google окончательно признал устаревшими. В своем блоге разработчики Android написали, что пошли на этот шаг потому, что пользователей, до сих пор работающих на устройствах с этой ОС, осталось совсем немного.

Точное число Android-устройств на базе Jelly Bean, активных до сих пор, в Google не уточняют, заявляя лишь, что их около 1% от общего количества гаджетов с этой платформой. По данным портала Statista.com, все версии Android ниже 5.0 Lollipop на июнь 2021 г. занимали лишь 1,18%.

По данным портала Business of Apps, по итогам 2020 г. в мире насчитывалось около 2,8 млрд пользователей Android-устройств. Таким образом, на Android Jelly Bean в настоящее время работают приблизительно 2 млн устройств по всему миру.

Сроки прекращения поддержки

Подготовку к полному отказу от Jelly Bean Google начала еще осенью 2018 г. В первых числах октября 2018 г. компания заявила об отказе от поддержки своего фирменного браузера Chrome для этой системы. Для него перестали выходить обновления и патчи безопасности, что вынудило часть пользователей перейти на другой браузер, а другую часть – купить новый мобильник с более свежей прошивкой.

31 января 2021 г. Google сообщила, что системы линейки Jelly Bean больше не будут получать обычные апдейты. Она оставив им только критические обновления системы безопасности.

Релиз новых версий Google Play Services прекратится в конце лета 2021 г. Последняя сборка для Jelly Bean будет иметь индекс 21.30.99. На момент публикации материала была доступна версия 21.24.18.

Революционная операционная система

Android Jelly Bean версии 4.1 вышла в конце июня 2012 г., заменив собой Ice Cream Sandwich (4.0). Появление Jelly Bean привнесло в Android массу нововведений, включая существенно переработанный интерфейс и поддержку частоты обновления экрана 60 кадров в секунду. В 2021 г. такая частота считается нормой.

Система Jelly Bean развивалась вплоть до версии 4.3, вышедшей, как сообщал CNews, в конце июня 2013 г. От версии к версии Google, вопреки своей же традиции, не меняла второе название ОС – она по-прежнему носила кодовое имя Jelly Bean и лишь с выходом версии 4.4 в июне 2014 г. сменила его на KitKat.

В список новшеств, которые появились в Android 4.1 Jelly Bean, входят поддержка подключения наушников и внешних динамиков по USB и улучшенная система уведомлений. В ноябре 2012 г. состоялся релиз версии 4.2 с модифицированным экраном блокировки, который стал заметно более функциональным. Начиная с этой версии, в Android появилась поддержка нескольких учетных записей на одном устройстве. Обновление до 4.3 Jelly Bean добавило в систему, помимо прочего, полностью новое приложение камеры и поддержку протокола Bluetooth Low Energy (LE).

Универсальный Android

Для Google платформа Android 4.1 Jelly Bean является важной частью истории по ряду причин. Одна из них связана с открытием для себя рынка планшетных компьютеров.

Вместе с самой 4.1 Jelly Bean Google в июне 2012 г. анонсировала свой первый планшет Nexus 7. 7-дюймовый компьютер поступил в продажу в середине июля 2012 г. и получил массу положительных отзывов пользователей. Успех «первенца» побудил Google и дальше развивать это направление бизнеса. Второй планшет не заставил себя ждать и вышел вместе с Android 4.3 Jelly Bean в последних числах июля 2013 г. Это был все тот же Nexus 7, но его второе поколение получило разительные улучшения и усовершенствования в сравнении с первым.

В целом, вся серия систем Android 4.x важна для Google, поскольку именно она определила новый вектор развития платформы, не изменившийся до сих пор. Первые два поколения Android были ориентированы на смартфоны, а третье (Android 3 Honeycomb) было выпущено исключительно для планшетов.

Google хотела сделать две отдельные операционки, как не так давно поступила Apple с iOS, отделив от нее iPad OS.

Honeycomb просуществовала менее полутора лет. Она вышла в феврале 2011 г., а последний апдейт для нее Google выпустила в феврале 2012 г. До этого в октябре 2011 г. появилась Android 4.0 Ice Cream Sandwich, ставшая первой универсальной ОС Google для смартфонов и планшетов, а в июне 2012 г. вышла Android 4.1 Jelly Bean.

От чего еще отказалась Google

Прекращение поддержки Google Play Services для Android Jelly Bean стало вторым за июль 2021 г. заявлением подобного плана. В самом начале месяца компания решила отказаться от APK (Android PacKage– формата дистрибутивов приложений, появившегося вместе с релизом самой первой версии Android.

В августе 2021 г., как сообщал CNews, Google перейдет на новый формат ААВ (Android App Bundle). Все разработчики приложений должны будут сделать то же самое.

Источник

Вторник Патчей (июнь 2021): Microsoft исправила 6 уязвимостей нулевого дня, эксплуатируемых в реальных атаках

Во «Вторник Патчей» (Patch Tuesday) 8 июня 2021 года компания Microsoft выпустила обновления безопасности для своих продуктов, исправив 7 уязвимостей нулевого дня, поэтому администраторам Windows лучше поторопиться с развертыванием обновлений.

В текущем обновлении Microsoft исправила в общей сложности 50 уязвимостей. Пять из них имеют рейтинг опасности «Критический», а остальные 45 — «Важный».

Исправлено 7 уязвимостей нулевого дня

В рамках июньского «Вторника Патчей» Microsoft исправила 7 уязвимостей нулевого дня, причем были зарегистрированы случаи эксплуатации 6 из них.

• CVE-2021-31955— уязвимость раскрытия информации в ядре Windows
• CVE-2021-31956 — уязвимость повышения привилегий в файловой системе Windows NTFS
• CVE-2021-33739 — уязвимость повышения привилегий в базовой библиотеке Microsoft DWM
• CVE-2021-33742 — уязвимость платформы Windows MSHTML, связанная с удалённым выполнением кода
• CVE-2021-31199 — уязвимость в компоненте Microsoft Enhanced Cryptographic Provider, связанная с повышением привилегий
• CVE-2021-31201 — уязвимость в компоненте Microsoft Enhanced Cryptographic Provider, связанная с повышением привилегий

Наконец, исправлена уязвимость нулевого дня CVE-2021-31968, связанная с отказом в обслуживании служб удаленных рабочих столов Windows. Информация о данной уязвимости была публично раскрыта, но в реальных атаках она не была задействована.

Две уязвимости были обнаружены «Лабораторией Касперского». В ближайшее время компания должна выпустить отчет об этом.

Источник

Патч безопасности android июнь 2021

При выборе устройства, немаловажную роль играет репутация производителя: период поддержки устройств, даже не совсем новых, является не последним критерием, и признаком хорошего тона. При этом производитель устраняет уязвимости, и возможно повышает производительность устройства, что делает его в глазах пользователя не только надежным, но иногда и единственным приемлемым выбором (как в случае всеми известной компании).

Однако, многие из вас слышали о ситуации, когда устройство под управлением android перестало обновляться, а это значит, что оно стало более уязвимо для атак хакеров, но не спешите отчаиваться — замена устаревшего устройства на другое — не всегда единственный выход.

К тому же, даже если ваше устройство показывает последние обновления патчей безопасности, это не всегда означает, что так и есть, что было подтверждено в исследовании https://xakep.ru/2018/04/16/android-patches/

Так или иначе, сами пользователи иногда модифицируют прошивку своих устройств, чтобы получить последние обновления безопасности https://forum.xda-deve…-updates-twrp-t3523026
Им в этом помогают энтузиасты, создающие и обновляющие кастом прошивки для их девайсов, которые не сложно установить, следуя инструкции (при наличии компьютера и навыков конечно)

И в третьих, в новейшей Q OS от Google сделали автоматическое обновление патчей безопасности android 10 прямо через play market.
https://www.xda-develo…security-update-issue/
Может быть кто то имеет устройство в котором это реализовано и он сможет поделиться своим опытом.

Было бы не плохо, создать инструкцию, или даже универсальный автоматизированный скрипт, для интеграции обновлений android security path level через magisk или twrp.
Поэтому кто хочет, может участвовать.

Сообщение отредактировал konstantinqq — 08.02.20, 22:21

(Зарезервировано на всякий случай)
Тема про ручное или полу автоматическое обновление системы безопасности андроид, то есть в конечном итоге должны появиться гайды и инструкции как обновить, а так де конечно отзывы, тех кто обновил и у кого может быть, не получилось.

Сообщение отредактировал konstantinqq — 08.02.20, 22:06

кто знает как на миюи обновить патч безопасности андроид?

Вроде бы где то писали что обновы безопасности на 10 андроиде будут сами приходит через маркет, а на деле в миюи как я понял это не реализовано, так вот, как обновить android security path level?

Если уж вопрос был удален, то что и о создании темы говорить?
Но есть и плюс — можно свободно обсуждать, если это касается темы.

Поэтому начну — был у меня mi 9 с миюи и 10 андроидом, но обновлениями безопасности занимался там не плей маркет, а сяоми, из за чего рассчитывать на своевременные обновления патчей безопасности не приходилось)

Вообще, как вы считаете, стоит ли беспокоиться что безопасность андроида давно не обновлялась?

Сообщение отредактировал konstantinqq — 08.02.20, 20:30

Ага, гугл сам там патчит, и Ромы кастомные на дату сборки обычно гугловские патчи содержат, а вендор и кернел должны сами производители или маинтайнеры обновлять

Так что вообще не вижу проблемы, если у кого-то какой-то кастом не обновлялся давно, то есть интсоукция по сборке gsi образов для любой прошивки в теме одноимённой на форуме

Инструкция есть в теме Разработка GSI
На базе скрипта от phhusson

А вот откуда можно скачать патчи, но как интегрировать, все ещё не нашел инструкцию. Особенно чтобы без потери данных например через тврп или магиск.

Всплывают нюансы, и как во всем этом разобраться?

Таким образом вижу примерно такое развитие событий, может быть кто то напишет инструкцию, или ее придется писать кому то другому:
Ну для начала, нужно узнать о совместимости патчей безопасности с установленным андроидом, как я понял, описанное в той теме относится к GSI системам.
Вот.
После того как стало известно о совместимости патча, как я понял, нужно пересобрать из исходников, и поэтому нужно знать где их взять, как создать патч, чтобы без сброса данных, ну и тому подобное.

Сообщение отредактировал konstantinqq — 08.02.20, 21:49

Если честно, понятия не имею)
Может быть по шаблону, подобно тому, как их делает сам производитель.
Ну то есть анализируется вендор, систем, и данные которые касаются патча безопасности.
При этом, существует пользовательская база, где пользователи условно выбирают алгоритм патча — ну к примеру для патча родного миюи или для патча ми еу кастома, и далее скрипт скачивает из репозитория нужные файлы, собирает прошивку, и вот она, только прошей через тврп.
Все.

Ps голосование такое потому что если 2018 и старше — значит производители перестали поддерживать телефон.

Сообщение отредактировал konstantinqq — 08.02.20, 22:35

fsct2k,
Про уязвимости можно больше официальной инфы найти, например пример того, как стоковое устройство без модификаций оказывается под полным контролем хакера, который получает полные системные права.
И это лишь об известных уязвимостях. Но ведь каждый год находят новые критические уязвимости. Складывается ощущение, что их там специально оставляют. И кто вовремя вышедшую заплатку не поставит, сталкивается с повышенным риском взлома.

А вот про уязвимости обхода magisk что можно найти? Рут то магиск менеджер выдаёт, причем можно запретить всем новым запросам поручение рут прав, и для приложения это будет означать почти полное их отсутствие. Ну может оно узнать допустим что телефон рутован, но без выданных прав что оно может? Хотите сказать что магиск куплен и в него встроен бекдор? Это уже похоже на правду.

Другое дело что андроид сама по себе уязвимая система — дай любой программе доступ к файлам, и вот уже можно все не системные файлы передавать кому угодно на оригинальном устройстве, без рутов и прочего.

Про разблокированный загрузчик тоже могу не много сказать — о том что нет способов на 4пда (я не встречал для новых устройств) без Рута модифицировать системные разделы, т. Е. Чтобы разблокированный загрузчик стал подспорьем ко взлому телефона, надо иметь бекдор позволяющий получить полные права на просмотр и изменение. А бекдоры как раз и устраняются патчами безопасности.
Сам по себе разблокированный загрузчик лишь снимает один слой защиты от изменения системных файлов, а именно проверку при загрузке. И то не всегда (ARB например или кирпич по схожим причинам на redmi note 8 pro даже разработчики кастом ромов бессильны обойти без авторизованного производителем edl аккаунта, хотя казалось бы, китайский телефон на МТК).

После размышлений могу и про TWRP оставить комментарий:
Чтобы сделать его применение безопасным, надо от него отделаться — то есть после установки всего необходимого, зашифровать раздел с данными сложным паролем, и удалить или запоролить TWRP, чтобы если кто найдет потерянный телефон не смог стянуть с него данные.

Судя по тому, что подобной темы на 4пда не было, и по текущей популярности этой темы — безопасность удел тех, кому есть что терять. Остальных же, похоже это мало волнует, на уровне «купи айфон» или используй антивирус на флагмане известной фирмы. Справедливо некоторые говорят «кому вы нужны со своими котиками».

Сообщение отредактировал konstantinqq — 20.02.20, 14:42

Источник