Google heeft tijdens de patchronde van oktober ernstige beveiligingslekken in Android verholpen waardoor een aanvaller op afstand of in de buurt kwaadaardige code op toestellen had kunnen uitvoeren. In totaal gaat het om 26 kwetsbaarheden waarvan er acht als ernstig zijn aangemerkt.
Via beveiligingslekken in het Android-framework en het Media-framework had een aanvaller via een speciaal geprepareerd bestand willekeurige code binnen de context van een geprivilegieerd proces kunnen uitvoeren. Kwetsbaarheden in het Android-system maakten dit ook mogelijk, alleen had een aanvaller in dit geval in de buurt van het slachtoffer moeten zijn. Google geeft echter geen verdere details.
Normaliter brengt Google gelijktijdig met de Android-updates ook updates voor de eigen Pixel/Nexus-toestellen uit. De internetgigant is hier een jaar geleden mee begonnen, maar voor het eerst is er nu een maand zonder beveiligingsupdates voor deze toestellen. Wel zijn er functionele updates uitgekomen om de stabiliteit en prestaties te verbeteren.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2018-10-01' of '2018-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.
Fabrikanten van Android-toestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Android-toestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.