Η Google κυκλοφόρησε αυτή την εβδομάδα τις μηνιαίες της ενημερώσεις ασφαλείας για το λειτουργικό σύστημα Android, οι οποίες διορθώνουν συνολικά 30 ευπάθειες.
Το πρώτο μέρος της ενημέρωσης, το security patch level 2020-11-01 αντιμετωπίζει συνολικά 17 ευπάθειες σε Android runtime, Framework, Media Framework και System components.
Σύμφωνα με την εταιρεία, η πιο σοβαρή ευπάθεια είναι η CVE-2020-0449. Είναι μια κρίσιμη ευπάθεια στο System, που θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση κώδικα απομακρυσμένα. Το ζήτημα ασφαλείας επηρεάζει τις εκδόσεις Android 8.0, 8.1, 9, 10 και 11.
Το System ήταν το Android component που έλαβε τις περισσότερες διορθώσεις (7) αυτό το μήνα. Οι υπόλοιπες ευπάθειες (πέρα από την κρίσιμη) έχουν χαρακτηριστεί πολύ σοβαρές: μια ευπάθεια για απόκτηση περισσότερων προνομιών, τέσσερις που επιτρέπουν την αποκάλυψη πληροφοριών και ένα denial of service bug.
Το Framework είναι το δεύτερο component που επηρεάζεται σημαντικά. Διορθώθηκαν έξι ευπάθειες: δύο κρίσιμα ζητήματα, που επιτρέπουν denial of service επιθέσεις και τέσσερις σοβαρές ευπάθειες που επιτρέπουν, επίσης, denial of service αλλά και απόκτηση προνομίων και αποκάλυψη πληροφοριών.
Με τις ενημερώσεις Νοεμβρίου, διορθώνεται και μια ευπάθεια στο Android runtime, που είναι πολύ σοβαρή και επιτρέπει στον επιτιθέμενο να αποκτήσει περισσότερα προνόμια στο ευάλωτο σύστημα και τρεις στο Media Framework.
Το δεύτερο security patch level 2020-11-05, διορθώνει άλλες 13 ευπάθειες.
Η Google εντόπισε τρία σημαντικά σφάλματα σε MediaTek components και δέκα σε Qualcomm closed-source components (ένα κρίσιμο και εννέα σοβαρά).
Αυτή την εβδομάδα, η Google ανακοίνωσε, επίσης, τη διαθεσιμότητα ενός ξεχωριστού συνόλου ενημερώσεων για συσκευές Pixel. Αυτές οι ενημερώσεις περιέχουν διορθώσεις για τέσσερα σφάλματα σε Qualcomm και Qualcomm closed-source components. Σε αυτή την περίπτωση, τα ζητήματα ασφαλείας είναι μέτριας σοβαρότητας.
Τέλος, αυτές τις ημέρες κυκλοφόρησε και μια ενημέρωση για τον Chrome browser σε Android, προκειμένου να διορθωθεί μια ευπάθεια που είχε ήδη αρχίσει να χρησιμοποιείται από εγκληματίες του κυβερνοχώρου.