Google heeft tijdens de patchcyclus van september 50 kwetsbaarheden in Android verholpen, waaronder elf die als ernstig zijn aangemerkt. Via ernstige lekken kan een aanvaller middels een aangepast bestand willekeurige code binnen de context van een geprivilegieerd proces uitvoeren.
De ernstige kwetsbaarheden zijn aanwezig in het Android-system, het Media-framework en onderdelen van Qualcomm. Via de overige beveiligingslekken kon een aanvaller een denial of service veroorzaken, informatie stelen of zijn rechten op het systeem verhogen. Een groot deel van de Android-kwetsbaarheden die deze maand zijn gepatcht bevinden zich in de "closed-source" onderdelen van Qualcomm.
Voor eigenaren van Pixel-toestellen heeft Google een apart beveiligingsbulletin uitgebracht waarmee 15 beveiligingslekken worden gepatcht. Geen van de kwetsbaarheden is als ernstig bestempeld. De beveiligingslekken zijn onder andere aanwezig in NFC, de WLAN HOST, audio en kernel.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2018-09-01' of '2018-09-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. Het is echter niet verplicht om de updates voor de aanvullende kwetsbaarheden die in het Pixel/Nexus-bulletin staan vermeld op te nemen.
Google heeft de updates nu voor Nexus- en Pixel-toestellen beschikbaar gemaakt. Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit. Onlangs werd bekend dat 1 miljard Android-toestellen vorig jaar geen beveiligingsupdates hebben ontvangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.