Google heeft voor de laatste keer in 2020 de maandelijkse beveiligingsupdates voor Android uitgebracht waarmee in totaal 46 kwetsbaarheden worden verholpen, die in het ergste geval een aanvaller op afstand controle over kwetsbare toestellen kan geven.

Tien van de beveiligingslekken zijn als kritiek aangeduid. Eén van deze kwetsbaarheden (CVE-2020-0458) bevindt zich in het Android Media Framework en zorgt ervoor dat een aanvaller op afstand door middel van een speciaal geprepareerd bestand willekeurige code in de context van een geprivilegieerd proces kan uitvoeren.

De overige negen kritieke beveiligingsproblemen zijn aanwezig in de software van chipgigant Qualcomm. Google verhelpt met de maandelijkse beveiligingsupdates niet alleen kwetsbaarheden in de eigen Androidcode, maar ook in onderdelen van chipsetfabrikanten waar Android gebruik van maakt.

Wat opvalt aan de kritieke beveiligingslekken in de software van Qualcomm is dat acht daarvan zich voordoen bij het verwerken en afspelen van audio. Hierdoor ontstaan verschillende problemen, waaronder buffer overflows een buffer over-read en een double free, waardoor een remote aanvaller zijn code op het toestel kan uitvoeren. Alle acht de audio-kwetsbaarheden zijn op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld.

Dan is er ook nog een kritieke kwetsbaarheid (CVE-2020-11225) in de wifi-driver van Qualcomm waar een aanvaller op afstand misbruik van kan maken om een buffer overflow veroorzaken die het uitvoeren van code mogelijk maakt. Ook de impact van dit beveiligingslek, dat op 22 april van dit jaar aan Qualcomm werd gerapporteerd, is met een 9,8 beoordeeld.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2020-12-01' of '2020-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9, 10 en 11.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.