Google heeft tijdens de patchronde van juli meerdere kwetsbaarheden in Android verholpen waardoor een aanvaller in het ergste geval code op toestellen kan uitvoeren. In totaal gaat het om 24 beveiligingslekken waarvan er zeven als ernstig zijn beoordeeld.

Drie van de ernstige kwetsbaarheden zijn aanwezig in het Media Framework en System van Android. Van twee van deze beveiligingslekken, CVE-2020-0224 en CVE-2020-0225, zijn nog geen details bekend. De derde kwetsbaarheid, aangeduid als CVE-2020-9589, bevindt zich in de Adobe DNG Software Development Kit (SDK). De Adobe DNG SDK maakt het mogelijk om DNG-bestanden te lezen, schrijven en converteren naar een ander formaat.

De software bevat een heap overflow kwetsbaarheid die via een speciaal geprepareerd bestand is te misbruiken. Ook via de twee andere kwetsbaarheden kan een aanvaller middels een speciaal geprepareerd bestand willekeurige code uitvoeren in de context van een geprivilegieerd proces.

Broadcom

Android bestaat niet alleen uit software van Google. Het besturingssysteem maakt ook gebruik van software die door andere partijen zoals Broadcom, MediaTek en Qualcomm is ontwikkeld. De overige vier ernstige kwetsbaarheden zijn aanwezig in de software van Qualcomm. Twee van de beveiligingslekken, CVE-2020-3698 en CVE-2020-3699, zijn aanwezig in het "WLAN component", maar verdere details worden niet gegeven.

Die details zijn wel beschikbaar voor de andere twee kwetsbaarheden: CVE-2019-9501 en CVE-2019-9502. Deze beveiligingslekken bevinden zich in de wifi-driver van Broadcam. Door het versturen van speciaal geprepareerde wifi-pakketten kan een aanvaller een heap buffer overflow veroorzaken en zo willekeurige code op het systeem uitvoeren of een denial of service veroorzaken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juli-updates ontvangen zullen '2020-07-01' of '2020-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juli aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.