O Google liberou uma das maiores atualizações mensais de segurança, reparando um total de 39 vulnerabilidades – 15 consideradas críticas, incluindo quatro que poderiam levar ao comprometimento total do aparelho.
Os patches foram liberados nessa segunda-feira (4) para aparelhos Nexus e serão publicados também para o Android Open Source Project nas próximas 24 horas.
Eles incluem um reparo para a vulnerabilidade que o Google alertou há cerca de duas semanas e que já estava sendo explorada por uma aplicação de raiz disponível publicamente.

Rastreado como “CVE-2015-1805”, a escalação da falha foi originalmente consertada no kernel Linux em abril de 2014, mas não havia ficado claro até fevereiro desse ano que ela também atingia o Android.
Os componentes de processamento de mídia do Android continuam sendo uma fonte de sérias vulnerabilidades.

A atualização desse mês inclui patches para nove falhas críticas de execução remota de código no codec de mídia do Android, mediaserver e na biblioteca Stagefright.
Fora isso, uma vulnerabilidade de escalação de privilégio e quatro problemas de divulgação de informações classificados como de alto impacto foram consertados no mediaserver.

Outros componentes onde falhas críticas foram encontradas e reparadas incluíam o kernel do Android, o Dynamic Host Configuration Protocol (DHCP), o módulo Qualcomm Performance e o módulo Qualcomm RF.
Escalação de vulnerabilidades de alto impacto, que podem dar mais privilégios a aplicações de terceiros do que normalmente deveriam ter, foram consertadas na IMemory Native Interface, o componente Telecom, o download manager, Bluetooth, system_server, entre outros.

O Android Security Team busca constantemente por abuso de vulnerabilidades através dos recursos de segurança Verify Apps e SafetyNet do Android.
Se uma atualização para o Android 6 é oferecida por uma fabricante de aparelhos, usuários são aconselhados a instalarem assim que possível.

Caso contrário, o patch de 2 de abril do Android deve proteger contra todas as vulnerabilidades consertadas nessa atualização mensal.

.

Fonte: Computer World