盡管沒趕在月度更新的時間點上,但Google還是為Android發(fā)布了一個緊急更新,以封堵被用于root Nexus 5和Nexus 6設備的Android漏洞。Google解釋到,這個Linux內(nèi)核bug(CVE-2015-1805)已于2014年4月被發(fā)現(xiàn)并修復,但在2015年2月之前,項目都不被認為是一個安全風險。而脫胎于Linux內(nèi)核的Android,顯然也未能幸免。
此前,Google曾審視過這個bug,但得出了問題不會影響自家移動操作系統(tǒng)的結(jié)論,直到C0RE團隊告知CVE-2015-1805漏洞可被用于Android設備,Google才在2016年2月19號“覺醒”。
Google工程師們立即著手打造了一個補丁,并準備在下一批Nexus Security Bulletin(定于4月起)推送。
3月15號的時候,Zimperium的安全研究人員(此前曾發(fā)現(xiàn)過Stagefright bug)告知Google,他們已經(jīng)發(fā)現(xiàn)野外又在利用CVE-2015-1805漏洞來root Android設備。
次日,Google向OEM合作伙伴發(fā)出了警示,然后在3月18號的時候發(fā)布了公共安全建議,稱新版系統(tǒng)會在接下來的幾天內(nèi)發(fā)布。
該公司稱,所有運行Linux Kernel v3.4、v3.10、v3.14的Android設備都存在風險,只有v3.18及以上的內(nèi)核是安全的。
當前,Google已在Play Store部署了措施,以防借助該漏洞來root Android設備的應用混入。
此外,該公司的Verify Apps也會在用戶安裝未經(jīng)認證來源的應用時給出潛在的安全風險警示。除非用戶關閉了這一功能,不然大多數(shù)人應該都是安全的。