Google heeft tijdens de Android-patchcyclus van november meerdere ernstige beveiligingslekken in het besturingssysteem verholpen waardoor een aanvaller op afstand kwetsbare toestellen had kunnen overnemen. Daarnaast is er een actief aangevallen kwetsbaarheid gepatcht.
In totaal zijn er deze maand 38 kwetsbaarheden opgelost. Drie daarvan in "System" zijn door Google als ernstig bestempeld en maken "remote code execution" mogelijk. Een aanvaller had op afstand via een speciaal geprepareerd bestand willekeurige code kunnen uitvoeren in de context van een geprivilegieerd proces. De kwetsbaarheden zijn aanwezig in Android 8, 8.1, 9 en 10. Andere kwetsbaarheden maakten het mogelijk voor kwaadaardige apps om zonder toestemming van gebruikers aanvullende permissies te krijgen.
Normaliter laat Google weten dat de verholpen kwetsbaarheden voor zover bekend niet zijn aangevallen. Van januari tot en met september meldde Google steeds dat het geen meldingen had ontvangen dat er misbruik van de verholpen beveiligingslekken was gemaakt. In oktober en ook deze maand wordt dat niet vermeld. In oktober waarschuwde Google zelf nog voor een actief aangevallen kwetsbaarheid in Android.
Dit beveiligingslek in de Android-kernel (CVE-2019-2215) staat zowel in het beveiligingsbulletin van oktober als november vermeld. Om misbruik van deze kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek vereist.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2019-11-01' of '2019-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.