Google heeft beveiligingsupdates voor Android uitgebracht waarmee een kritieke kwetsbaarheid wordt verholpen die remote code execution mogelijk maakt. Het beveiligingslek, aangeduid als CVE-2025-48593, is aanwezig in het System-onderdeel van Android 13, 14, 15 en 16. Volgens Google kan een aanvaller via het beveiligingslek op afstand code op Androidtelefoons uitvoeren, zonder dat aanvullende rechten zijn vereist. Verdere details zijn niet gegeven. Daarnaast is ook nog een kwetsbaarheid gepatcht waardoor een aanvaller die al toegang tot een Androidtelefoon heeft, of een malafide app, zijn rechten kan verhogen.

Android Authority liet onlangs weten dat Google een nieuw updatemodel voor Android hanteert, gebaseerd op het daadwerkelijke risico van kwetsbaarheden. Alleen voor beveiligingslekken die als zeer risicovol zijn beoordeeld verschijnen nog maandelijkse updates. De overige kwetsbaarheden worden eens per kwartaal gepatcht. Google heeft de aanpassingen aan het updatemodel nog niet zelf bekendgemaakt.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de november-updates ontvangen zullen '2025-10-01' of '2025-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van november aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 13, 14, 15 en 16.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.