Google heeft weer beveiligingsupdates voor Nexus-toestellen uitgebracht, die meerdere ernstige Android-kwetsbaarheden verhelpen waardoor een aanvaller op afstand het toestel kon overnemen. De updates zijn onderdeel van de geplande patchronde die Google elke maand houdt.

Deze maand heeft Google 19 beveiligingslekken verholpen, waarvan er 8 als ernstig zijn aangemerkt. Het gaat om kwetsbaarheden in onder andere de Mediaserver, MediaTek wifi-driver, libvpx en keyring. Twee kritieke kwetsbaarheden in de mediaserver laten een aanvaller op afstand code uitvoeren. Dit zou op verschillende manieren kunnen, waaronder het openen van een e-mail, het bezoeken van websites of het verwerken van mediabestanden die via mms worden verstuurd.

Ook in het geval van de libvpx-kwetsbaarheid kon er bij het verwerken van een kwaadaardig media bestand willekeurige code op het toestel worden uitgevoerd. Het beveiligingslek in de MediaTek wifi-driver liet een lokale kwaadaardig app willekeurige code binnen de context van de kernel uitvoeren. Volgens Google zijn er geen gevallen bekend waarbij de kwetsbaarheden zijn aangevallen. De Nexus-updates worden over-the-air uitgerold.