Tijdens de patchronde van april heeft Google een recordaantal van 312 kwetsbaarheden in Android verholpen. Niet eerder werden er in één maand zoveel kwetsbaarheden gepatcht. Het grote aantal is te verklaren doordat er 250 updates van Qualcomm die van 2014 tot en met 2016 uitkwamen nu aan het Android-beveiligingsbulletin zijn toegevoegd.
Zestien van de kwetsbaarheden zijn als ernstig aangemerkt, waarvan er vijftien recent zijn. De ernstige kwetsbaarheden bevinden zich in het Android Media-framework, System, de bcmdhd-driver van Broadcom en een wifi-onderdeel van Qualcomm. Volgens Google vormt de kwetsbaarheid in het Media-framework de grootste dreiging. Via de kwetsbaarheid zou een aanvaller via een speciaal geprepareerd bestand willekeurige code binnen de context van een geprivilegieerd proces kunnen uitvoeren.
Naast het Android Security Bulletin is er ook een specifiek Pixel/Nexus Security Bulletin verschenen. Dit bulletin richt zich op kwetsbaarheden die in de smartphones van Google zijn gepatcht. Het gaat om totaal 41 beveiligingslekken waarvan er geen als kritiek is aangemerkt.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2018-04-01' of '2018-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de update op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.