Google presenterade i dag novemberutgåvan av de månatliga säkerhets­uppdateringarna för Androidenheter. Bulletinen från Google innehåller fixar för sårbarheter som rör fjärr­exekvering av skadlig kod, integritets­problem och förhöjda användarnivåer i diverse delar av Android­systemet, skriver The Register.

Två av sårbarheterna, CVE-2018-9527 och CVE-2018-9531, anses som kritiska och en tredje, CVE-2018-9521, ses som hög. Alla dessa sårbarheter ligger i Androids mediaramverk, och kan innebära att en infekterad video eller ett multimedia­meddelande kan exekvera skadlig kod med tillräckliga privilegier för att kunna spionera på användaren eller ställa till med annat otyg. Ytterligare två sårbarheter rör mediaramverlet, CVE-2018-9536 och CVE-2018-9537, anses kritiska och kan bidra till att höja angriparens användar­privilegier.

Google går hårt åt media­biblioteteket Libxaac, med hela 18 olika CVE-listade sårbarheter, och ger i princip hela biblioteket sparken. Google kommer hädanefter att klassa Libxaac som ”experimental” och kommer inte att inkludera det i framtida produktionskod i Android.

Utöver fixarna i själva Androidkoden innehåller paketet även fixar för 17 specifika sårbarheter i Qualcomm-komponenter som används i Android­telefoner, men detaljer om dessa finns inte i Googles dokumentation eftersom Qualcomm föredrar att beskriva dessa sårbarheter i sina egna säkerhets­dokument. Dock pekar Google på att tre av dessa sårbarheter, CVE-2017-18317, CVE-2018-5912 och CVE-2018-11264 klassas som kritiska säkerhets­risker.

Det är gott att Google går ut med säkerhets­fixar för Android, men det är oftast upp till mobil­leverantörerna, eller operatörerna, att faktiskt få ut fixarna till användarna så fort som möjligt – vilket de ibland, milt uttryckt, är mindre bra på. Vissa säkerhets­uppdateringar kan Google få ut via Google Play Store, men lågnivå­fixarna måste gå ut via tillverkarna. Undantaget är mobilerna under Googles egna varumärke Pixel.

Läs också:

Ny supertrojan för Android upptäckt – ger hackarna total kontroll över mobilen

Så kunde en gasläcka slå ut alla Apple-prylar på ett amerikanskt sjukhus