Google heeft tijdens de patchcyclus van mei meerdere ernstige kwetsbaarheden in Android verholpen die een aanvaller de mogelijkheid gaven om op afstand toestellen over te nemen. In totaal zijn er 39 beveiligingslekken gepatcht, waarvan er drie als ernstig zijn bestempeld.
Van deze drie kwetsbaarheden is een lek in het System-onderdeel van Android het gevaarlijkst, zo laat Google weten. Door het versturen van een "speciaal geprepareerde transmissie" kan een remote aanvaller willekeurige code uitvoeren in de context van een geprivilegieerd proces. Daarmee is het mogelijk om volledige controle over het toestel te krijgen. Verdere details over deze kwetsbaarheid zijn nog niet door Google gegeven.
De overige twee ernstige kwetsbaarheden bevinden zich in het Android-framework en een onderdeel van chipfabrikant Qualcomm dat met het verwerken van video te maken heeft. Het beveiligingslek in de software van Qualcomm is ook op afstand te misbruiken. Het grootste deel van de nu verholpen kwetsbaarheden zijn echter alleen lokaal te misbruiken, bijvoorbeeld wanneer gebruikers een malafide app installeren.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de mei-updates ontvangen zullen '2020-05-01' of '2020-05-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van mei aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.