Tijdens de patchcyclus van augustus heeft Google 71 kwetsbaarheden in Android en Pixel/Nexus-toestellen verholpen. Zes van de Android-lekken zijn als ernstig aangemerkt. Via ernstige lekken kan een aanvaller middels een aangepast bestand willekeurige code binnen de context van een geprivilegieerd proces uitvoeren.
De ernstige beveiligingslekken bevinden zich in het Media-framework, het Android-system en onderdelen van fabrikant Qualcommm. Ook was het via de kwetsbaarheden mogelijk voor apps om aanvullende rechten te krijgen, informatie te stelen of een denial of service te veroorzaken. Een groot deel van de 43 Android-kwetsbaarheden die deze maand zijn verholpen bevindt zich in "closed-source" onderdelen van Qualcomm.
Daarnaast zijn er 28 beveiligingslekken in de Pixel/Nexus-toestellen van Google gepatcht. Eén van de kwetsbaarheden is als ernstig aangemerkt. Het gaat om een beveiligingslek in het wifi-onderdeel van Qualcomm waardoor een aanvaller op afstand willekeurige code had kunnen uitvoeren. Deze kwetsbaarheid was vorig jaar al ontdekt en gerapporteerd.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2018-08-01' of '2018-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.