Nexus, Priv, A9 en hopelijk veel meer gebruikers zullen binnenkort (zo niet al) een uitrol van beveiligingspatchniveau 1 januari 2016 zien. Zoals u ongetwijfeld weet, is dit een voortdurende maandelijkse inspanning van Google om alle softwaregerelateerde beveiligingsbugs die binnen Android worden gevonden door experts uit de hele technische wereld. Elke maand ontvangen we een bulletin van Google met de beveiligingsproblemen die in de update worden aangepakt, evenals wie de update heeft ontdekt en waar ze momenteel werkzaam zijn.
Dit is wat is opgelost voor januari:
Een grote focus voor deze maand was escalatie van kwetsbaarheden in privileges. Dit verwijst naar elk punt in de code waar iets kan vragen om toegang tot grotere rechten dan het besturingssysteem zou moeten verlenen. Vaak kunnen kwetsbaarheden met escalatie van bevoegdheden leiden tot de mogelijkheid om code uit te voeren die anders niet zou zijn toegestaan. In de januari-patch lost Google escalatie-kwetsbaarheden in Bluetooth, Kernel, Setup Wizard, Wifi, Trustzone, Imagination Technologies Driver en misc-sd driver op. In deze patch is ook een beveiligingslek met betrekking tot het uitvoeren van externe code in de Mediaserver aangepakt, evenals een beveiligingslek met betrekking tot denial of service in Bouncy Castle. Ten slotte was er een vermindering van het aanvalsoppervlak voor Nexus-korrels.
Zoals bijna altijd het geval is, beweert Google dat er geen meldingen zijn geweest van actieve klantenuitbuiting van deze problemen. Dit heeft veel te maken met de beveiligingsfuncties die Google heeft om te voorkomen dat apps de Play Store binnenkomen of actief blijven die deze kwetsbaarheden in de eerste plaats kunnen misbruiken. Google's inspanningen om apps zowel in de Play Store als op uw telefoon te verifiëren, spelen een belangrijke rol in de dagelijkse veiligheid, maar het aanpakken van kwetsbaarheden binnen Android zelf is nog steeds ongelooflijk belangrijk. Niet iedereen gebruikt immers alleen apps uit de Play Store.
Net als vorige maandelijkse patches, beginnen Nexus-telefoons en -tablets de update onmiddellijk uit te rollen, maar afbeeldingen zijn ook beschikbaar op de Google Developers-site - builds gemarkeerd LMY49F of later hebben de meest recente patch. De 15 dagen durende belofte van HTC met de A9 betekent dat gebruikers de update binnen twee of drie weken zullen zien, en BlackBerry Priv-eigenaren zouden de update vandaag moeten zien. Alle partners van Google hebben deze patch op 7 december ontvangen en de juiste AOSP-repo's worden binnen de komende 48 uur bijgewerkt. Blijf Veilig!
