Google is 2018 begonnen met beveiligingsupdates voor het Android-besturingssysteem die in totaal 85 kwetsbaarheden verhelpen. Het Android Security Bulletin van januari verhelpt 39 kwetsbaarheden, waarvan er 5 als ernstig zijn aangemerkt.
Via dergelijke lekken kan een aanvaller in het ergste geval op afstand willekeurige code op het toestel uitvoeren, zoals het installeren van kwaadaardige apps en het verkrijgen van volledige permanente controle. De ernstige kwetsbaarheden bevinden zich in het Media-framework, System en onderdelen van chipfabrikant Qualcomm. Volgens Google zijn er geen meldingen dat er misbruik is gemaakt van de kwetsbaarheden.
Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat in totaal om 46 kwetsbaarheden die boven op de beveiligingslekken van het Android Security Bulletin komen. Geen van de beveiligingslekken is als ernstig aangemerkt. Het grootste deel van de kwetsbaarheden is aanwezig in het Media-framework en onderdelen van Qualcomm. Google stelt dat het aan andere fabrikanten is om te bepalen of ze deze updates ook onder hun gebruikers willen uitrollen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de januari-updates ontvangen zullen '2018-01-01' of '2018-01-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van januari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit. Onlangs bleek uit cijfers van CVE-Details dat vorig jaar in Android de meeste kwetsbaarheden werden gerapporteerd. Het ging in totaal om 847 beveiligingslekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.