Google heeft tijdens de patchronde van juli een kritieke kwetsbaarheid in het Android Framework verholpen. Deze is aangeduid als CVE-2024-3132 en maakte het mogelijk voor apps en lokale gebruikers om zonder aanvullende permissies hun rechten te verhogen.
Het betreft een security-lek dat escalatie van privileges (EoP) mogelijk maakt. Deze krijgen meestal geen kritieke status, maar deze wel vanwege de ernst van de potentiële impact. Google doet in zijn security bulletin echter geen verdere uitspraken.
Tweede kritieke EoP-kwetsbaarheid in korte tijd
Google heeft voor de kritieke kwetsbaarheid in het Android Framework alleen updates uitgebracht voor Android 12 en 12L. In mei patchte Google ook al een dergelijke kritieke EoP-kwetsbaarheid. Die bevond zich echter in het System Component en niet het Android Framework en betrof Android 14.
Tijdens deze patchronde zijn 29 andere kwetsbaarheden gevonden. De overige updates zijn voor alle Android-versies van 12 tot en met 14 of subcomponenten en hebben de verzamelaanduiding ‘2024-07-01’ of ‘2024-07-05’ meegekregen. Fabrikanten zijn verplicht deze updates op te nemen in hun eigen patches om gebruikers te beschermen.
Ook kwetsbaarheden in componenten
De source code-patches zijn te vinden in de repository van het Android Open Source Project (AOSP) en gekoppeld aan het security-bulletin. Die bevat ook links naar patches buiten het AOSP. Zo zijn er zoals altijd ook kwetsbaarheden gemeld die betrekking hebben op componenten van bijvoorbeeld chipmakers MediaTek en Qualcomm.
Android-fabrikanten zijn ten minste een maand geleden geïnformeerd over de kwetsbaarheden, om hen tijd te geven updates te ontwikkelen. Dit garandeert echter niet dat alle toestellen deze updates ontvangen, aangezien sommige apparaten niet meer worden ondersteund of pas later worden bijgewerkt.
Lees ook: Google patcht kritiek Android-lek voor toestellen met Qualcomm-chipsets