Новые условия Google обязывают регулярно патчить Android-смартфоны

Новые условия Google обязывают регулярно патчить Android-смартфоны

Новые условия Google обязывают регулярно патчить Android-смартфоны

Практически все пользователи смартфонов на базе операционной системы Android знают о проблеме цепочки обновлений, которая преследует производителей и пользователей с самого начала. Каждый месяц с выпуском новых наборов апдейтов от Google разработчики смартфонов не могут оперативно их разослать пользователям. Однако теперь, судя по всему, проблема будет решена, так как новый договор Google строго обязывает производителей держать версию ОС в актуальном состоянии.

Новый контракт, о котором пишет The Verge, требует от производителей устройств на Android регулярно устанавливать обновления на любой популярный смартфон или планшет на протяжении двух лет. 

Также предусматривается, что разработчики должны обеспечить выход «по крайне мере четырех обновлений безопасности» в течение года после запуска продаж устройства. Патчи безопасности также должны гарантированно поставляться и в течение следующего года, однако точное количество необходимых обновлений не оговаривается.

Эти требования будут применяться ко всем устройствам, выпущенным после 31 января 2018 года, которые были активированы более 100 000 пользователями. Помимо этого, производители должны устранять обнаруженные Google бреши в течение определенного отрезка времени.

В конце каждого месяца попадающие под новые условия устройства должны быть пропатчены ото всех уязвимостей, которые были обнаружены более 90 дней назад. Это будет гарантировать постоянную поддержку устройств и их защиту от известных уязвимостей.

В Linux и Android нашли баг, который даёт обычному пользователю root-доступ

В ядре Linux раскрыли уязвимость Bad Epoll, она же CVE-2026-46242. Баг позволяет обычному локальному пользователю без особых прав подняться до root и получить полный контроль над системой. Под ударом Linux-десктопы, серверы и Android-устройства на затронутых версиях ядра. Патч уже выпущен.

Проблема сидит в epoll — стандартном механизме Linux, который помогает программам следить сразу за множеством файлов, соединений и событий. Его используют серверы, сетевые сервисы и браузеры.

Bad Epoll относится к классу use-after-free: две части системы одновременно пытаются прибраться за одним внутренним объектом. Одна уже освобождает память, другая всё ещё в неё пишет.

В этот микроскопический момент атакующий может испортить память ядра и залезть туда, куда обычным пользователям вход запрещён.

 

Фокус в том, что окно для атаки крошечное — около шести машинных инструкций. Казалось бы, шанс попасть туда почти нулевой. Но исследователь Джэён Чон не только нашёл баг, а ещё и собрал рабочий эксплойт: на тестовых системах он получал root примерно в 99% случаев. Уязвимость он отправил в Google kernelCTF как 0-day.

 

Есть и неприятный бонус: по данным исследователя, баг можно триггерить из песочницы Chrome, а также довести до Android — туда добирается далеко не каждая Linux-уязвимость.

Обходного пути нет: epoll нужен системе. Затронуты ядра на базе 6.4 и новее без исправления; старые 6.1-based сборки, включая часть Android-устройств, не уязвимы.

RSS: Новости на портале Anti-Malware.ru