Google heeft tijdens de patchcyclus van november meerdere kritieke beveiligingslekken in Android gepatcht die het mogelijk maken om toestellen op afstand over te nemen. In totaal zijn er 33 kwetsbaarheden verholpen waarvan er vijf als ernstig zijn aangemerkt. Drie kwetsbaarheden in het Android Framework en System maken remote code execution mogelijk.
De kwetsbaarheid in Android System is volgens Google het gevaarlijkst. Via dit beveiligingslek, aangeduid als CVE-2020-0449, kan een aanvaller in de buurt van gebruikers door het versturen van een "speciaal geprepareerde transmissie" willekeurige code uitvoeren in de context van een geprivilegieerd proces. Mogelijk gaat het om een kwetsbaarheid in bluetooth. In het verleden heeft Google voor bluetooth-lekken dezelfde bewoording gebruikt, maar of dit ook nu het geval is, is onduidelijk. Verdere details worden niet over de kwetsbaarheid gegeven.
De beveiligingslekken in het Android Framework maken het ook voor een aanvaller mogelijk om op afstand code uit te voeren, alleen dan door middel van een speciaal geprepareerd bestand. De overige kwetsbaarheden maken het mogelijk voor malafide apps om zonder interactie van gebruikers aanvullende permissies te verkrijgen of een permanente denial of service te veroorzaken. Verder zijn meerdere kwetsbaarheden in de software van chipfabrikanten MediaTek en Qualcomm verholpen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2020-11-01' of '2020-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9, 10 en 11.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.