Welkom terug bij een nieuwe spannende aflevering van de maandelijkse beveiligingsupdate van Google. Februari is gearriveerd, en dat betekent dat het tijd is dat Google alle patches voor Android schetst en aangeeft wie die patches heeft gemaakt.
Voor niet-ingewijden accepteert Google (en het Android Open Source Project) bijdragen van externe bronnen en van de teams binnen Google. Elke maand worden deze bijdragen verzonden naar de partners van Google, zodat zij hun eigen apparaten kunnen bijwerken, en ongeveer een maand later worden deze updates naar de Nexus-lijn gepusht. Sommige partners zijn echt goed in het updaten van hun producten, maar deze maandelijkse cyclus is nog steeds een uitdaging voor veel bedrijven die Android op hun producten gebruiken.
Dit is wat er deze maand wordt opgelost.
De problemen die deze maand door het interne team van Google zijn gemarkeerd, hebben allemaal te maken met escalatie van rechten en uitvoering van externe code. De update van februari zal externe codeproblemen in een Broadcom Wifi-stuurprogramma en de Mediaserver behandelen, terwijl escalatieproblemen in Qualcomm's prestatiemodule, Wifi-stuurprogramma en debugger-daemon worden aangepakt. Er zijn ook escalatiekwetsbaarheden die worden aangepakt in de algemene Android Wifi- en Mediaserver-systemen, maar deze problemen waren gemarkeerd als Hoog in plaats van Kritiek in de ernstlijst van Google. Een update van de Minikin-bibliotheek lost ook een mogelijk Denial of Service-beveiligingslek op.
Zoals altijd beweert Google dat er geen meldingen zijn van actieve klantenuitbuiting met behulp van de problemen die in deze update zijn gemeld en hersteld.
Twee CVE-markeringen met het label Moderate by Google wijzen op een manier om de fabrieksresetbeveiliging te omzeilen in de Android-installatiewizard en deze problemen zijn hersteld. Hoewel Google dit probleem als Gemiddeld heeft gemarkeerd, is het belangrijk om te weten wat dit probleem voor gebruikers betekent. Er was een beveiligingslek waardoor iemand die wist hoe hij de beveiligingsmaatregel moest omzeilen die ervoor zorgt dat iemand geen toegang tot uw telefoon heeft, gewoon een fabrieksreset heeft uitgevoerd. Zoals vaak het geval is, beweert Google dat er geen meldingen zijn van actieve klantenuitbuiting met behulp van de problemen die in deze update zijn gemeld en hersteld.
Nexus-gebruikers die deze update nu willen flashen, kunnen naar de Google Developer-site gaan en de nieuwste release voor flash downloaden. Een OTA-update met deze patch zal in de nabije toekomst beschikbaar zijn voor Nexus-telefoons en -tablets, hoewel BlackBerry Priv-eigenaren misschien hebben gemerkt dat deze OTA-update vanochtend beschikbaar was en nu kan worden geïnstalleerd. Zie je volgende maand!