Google heeft een beveiligingsupdate voor Android uitgebracht die de KRACK-attack op WPA en WPA2 en andere kwetsbaarheden in het besturingssysteem verhelpt. In totaal heeft Google via het Security Bulletin van november 32 beveiligingslekken in Android gepatcht, waarvan er negen als ernstig zijn aangemerkt.
Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle. De ernstige kwetsbaarheden bevinden zich in het Media framework, system en de wifi-componenten van chipfabrikant Qualcomm. Verder zijn negen beveiligingslekken opgelost die onderdeel van de KRACK-attack uitmaken. Via deze aanval kan een aanvaller via WPA- en WPA2-beveiligd verkeer ontsleutelen en manipuleren. Met name systemen die op Android 6 en nieuwer draaien lopen volgens de Belgische ontdekker van de KRACK-attack, Mathy Vanhoef, veel risico.
Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat in totaal om 56 kwetsbaarheden die boven op de beveiligingslekken van het Android Security Bulletin komen. Het grootste deel van de kwetsbaarheden is aanwezig in onderdelen van chipfabrikant Qualcomm. Google stelt dat het aan andere fabrikanten is om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2017-11-01' of '2017-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google de afgelopen maand over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.