Google heeft een nieuwe beveiligingsupdate voor Android uitgebracht waarmee 54 kwetsbaarheden in het besturingssysteem worden verholpen. 31 van de beveiligingslekken bevinden zich in onderdelen van chipfabrikant Qualcomm, terwijl er zeventien specifiek in Android zaten.
Een kwetsbaarheid in het Android Framework (CVE-2020-0240) is volgens Google het gevaarlijkst. Hierdoor kan een aanvaller via een speciaal geprepareerd bestand op afstand willekeurige code uitvoeren in de context van een geprivilegieerd proces. De overige Androidlekken maken het mogelijk voor malafide applicaties om zonder interactie van gebruikers aanvullende permissies te krijgen.
Bij de beoordeling van de impact van verholpen beveiligingslekken kijkt Google alleen naar de eigen Androidlekken. In het geval van kwetsbaarheden in de onderdelen van andere fabrikanten laat het de impactbeoordeling over aan de betreffende fabrikant. Dan blijkt dat Qualcomm verschillende beveiligingslekken als kritiek heeft beoordeeld. Die bevinden zich onder andere in de wifi-firmware.
Het gaat om CVE-2020-11116 en CVE-2020-3667. De eerste kwetsbaarheid zorgt voor een buffer overflow wanneer er een bepaalde response van de host wordt ontvangen. Het tweede lek leidt ook tot een buffer overflow, alleen dan bij het opzetten van een WPA-handshake. Wat verder opvalt aan de Qualcomm-fixes die Google in de nieuwste Android-update heeft doorgevoerd is dat het onder andere om kwetsbaarheden gaat die uit 2018 en 2019 stammen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de augustus-updates ontvangen zullen '2020-08-01' of '2020-08-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van augustus aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.