Tijdens de patchronde van juli heeft Google drie actief aangevallen zerodaylekken in Android verholpen. Eén van de kwetsbaarheden, aanwezig in het Android System, maakt remote code execution mogelijk. Een aanvaller kan zo op afstand willekeurige code uitvoeren. De impact van dit beveiligingslek, aangeduid als CVE-2023-2136, is echter als high beoordeeld en niet als kritiek. Google geeft dit label voor kwetsbaarheden waarbij een remote aanvaller code alleen in een "unprivileged context" kan uitvoeren.

Een aanvaller zou dan bijvoorbeeld via een tweede kwetsbaarheid zijn rechten moeten verhogen om de telefoon volledig over te kunnen nemen. De andere twee zerodaylekken, aangeduid als CVE-2021-29256 en CVE-2023-26083, maken dit mogelijk en zorgen ervoor dat een aanvaller rootrechten kan krijgen. Deze twee beveiligingslekken zijn aanwezig in de kerneldriver van de ARM Mali GPU, de grafische processor van de telefoon.

ARM werd door Google over kwetsbaarheid CVE-2023-26083 ingelicht en waarschuwde afgelopen maart zelf al dat aanvallers er misbruik van maken. Google heeft de patches van ARM voor beide beveiligingslekken nu ook in de Android-update verwerkt. Details over de aanvallen waarbij de zerodaylekken zijn gebruikt zijn niet door Google gegeven.

Kritieke kwetsbaarheden

Naast de drie zerodaylekken zijn deze maand ook 43 andere kwetsbaarheden in Android verholpen. Twee daarvan zijn als kritiek aangemerkt en één daarvan maakt remote code execution mogelijk, wat inhoudt dat een aanvaller Androidtelefoons op afstand kan overnemen. Het gaat om een kwetsbaarheid aangeduid als CVE-2023-21250, aanwezig in Android System. Google voeg toe dat er geen enkele interactie van gebruikers is vereist om misbruik van de kwetsbaarheid te maken.

De tweede kritieke kwetsbaarheid, CVE-2023-21629, is aanwezig in het modem-onderdeel van chipfabrikant Qualcomm. Een aanvaller moet echter al toegang tot de telefoon hebben om misbruik van dit beveiligingslek te maken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juli-updates ontvangen zullen '2023-07-01' of '2023-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juli aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.