Google heeft een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Android. Via de kwetsbaarheid in de Androidkernel, aangeduid als CVE-2021-1048, kan een aanvaller die al toegang tot een toestel heeft, bijvoorbeeld via een malafide app of andere kwetsbaarheid, zijn rechten verhogen. Details over de waargenomen aanvallen zijn niet door Google gegeven.

In totaal heeft Google met de patchronde van november 39 kwetsbaarheden in Android verholpen. Volgens Google zijn de gevaarlijkste beveiligingslekken van deze maand aanwezig in Android System. Via deze kwetsbaarheden, aangeduid als CVE-2021-0918 en CVE-2021-0930, kan een aanvaller door het versturen van een "speciaal geprepareerde transmissie", op afstand willekeurige code op toestellen uitvoeren.

Verdere details over deze beveiligingslekken en het soort transmissie worden niet door Google gegeven. In het verleden is de term "speciaal geprepareerde transmissie" echter gebruikt bij bluetooth-kwetsbaarheden. Beide beveiligingslekken zijn door Google als kritiek aangemerkt.

Een andere kritieke kwetsbaarheid (CVE-2021-0889) is aanwezig in Android TV. Een aanvaller in de buurt van een toestel kan zich stilletjes met een televisie pairen en willekeurige code uitvoeren, zonder dat hiervoor privileges of interactie van de gebruiker zijn vereist. De overige Androidlekken maken het mogelijk voor apps om zonder interactie van gebruikers aanvullende permissies te krijgen.

Naast kwetsbaarheden in de eigen Androidcode verhelpt Google met de maandelijkse patchronde ook kwetsbaarheden in onderdelen van chipsetfabrikanten waar Android gebruik van maakt. Deze maand gaat het om onderdelen van MediaTek en Qualcomm. Twee van de kwetsbaarheden in de software van Qualcomm, CVE-2021-1924 en CVE-2021-1975, zijn aangemerkt als kritiek. CVE-2021-1975 is op afstand te misbruiken en bevindt zich in de datamodem. Bij het verwerken van een dns-response kan zich een heap overflow voordoen. De ernst van het lek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2021-11-01', '2021-11-05' of '2021-11-06' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 9, 10, 11 en 12.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.