Een kritieke kwetsbaarheid in Android maakt het mogelijk voor aanvallers op om afstand hun rechten te verhogen, zonder enige interactie van de gebruiker of aanvullende rechten voor het uitvoeren van code. Google heeft tijdens de maandelijkse patchronde van februari updates uitgerold om het probleem in het systeemonderdeel van Android te verhelpen.
Remote escalation of privilege, zoals Google het omschrijft, komt niet vaak voor. Bij veel kwetsbaarheden waarbij een aanvaller zijn rechten kan verhogen is er toegang tot het systeem vereist. Verdere details over het beveiligingslek, aangeduid als CVE-2021-39675, zijn niet door Google gegeven. In totaal heeft Google deze maand 38 beveiligingslekken verholpen.
Daarvan zijn er twee als kritiek aangemerkt. De andere kritieke kwetsbaarheid bevindt zich in de kernelsoftware van chipfabrikant Qualcomm. Dit lek is alleen lokaal te misbruiken. Verder zijn er verschillende beveiligingslekken verholpen in de bluetooth-software van chipfabrikant MediaTek, waardoor een aanvaller die al toegang heeft zijn rechten kan verhogen.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de februari-updates ontvangen zullen '2022-02-01' of '2022-02-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van februari aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 10, 11 en 12.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.