Google heeft tijdens de patchcyclus van oktober in totaal 52 kwetsbaarheden in het Android-platform gedicht, waarvan vijf als ernstig zijn aangemerkt. Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle.
Deze maand heeft Google twee beveiligingsbulletins uitgebracht, één voor Android en één voor Pixel/Nexus-toestellen. Het Android-bulletin verhelpt veertien kwetsbaarheden in verschillende onderdelen van het besturingssysteem, waaronder de kernel, het framework, media-framework en onderdelen van MediaTek en Qualcomm. Net als voorgaande maanden bevinden de ernstige kwetsbaarheden zich in het media-framework. Een aanvaller zou hier via een speciaal geprepareerd bestand misbruik van kunnen maken. Tevens zijn twee ernstige lekken in een driver en subsysteem van Qualcomm gepatcht.
Daarnaast is er nu een apart bulletin voor Pixel/Nexus-toestellen verschenen die ook Android-lekken verhelpen. Het gaat in totaal om 38 kwetsbaarheden, waarvan het grootste deel in onderdelen van Broadcom, HTC, Huawei, Motorola en Qualcomm. Volgens Google is het aan andere fabrikanten om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2017-10-01' of '2017-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.