Google telah merilis pembaruan keamanan Android November 2021, yang mengatasi 18 kerentanan dalam kerangka kerja dan komponen sistem, dan 18 kelemahan lainnya pada komponen kernel dan vendor.
Di antara perbaikan, ada satu yang menghubungkan CVE-2021-1048, eskalasi lokal hak istimewa yang disebabkan oleh penggunaan setelah kelemahan gratis, yang menurut Google, berada di bawah eksploitasi terbatas dan ditargetkan. Belum banyak detail teknis yang dirilis terkait kekurangan ini, karena produsen peralatan asli (OEM) saat ini sedang berupaya menggabungkan tambalan dengan build khusus mereka, sehingga sebagian besar pengguna Android rentan.
Lima masalah kritis
Masalah paling parah yang ditangani oleh patch November 2021 adalah dua bug kritis System remote code execution (RCE) yang dilacak sebagai CVE-2021-0918 dan CVE-2021-0930.
Kelemahan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks proses istimewa dengan mengirimkan transmisi yang dibuat khusus ke perangkat target.
Dua kelemahan keamanan kelemahan kritis yang diatasi dengan tambalan bulan ini adalah untuk CVE-2021-1924 dan CVE-2021-1975, keduanya berdampak pada komponen Qualcomm.
Perbaikan kelemahan kritis kelima terletak pada komponen “layanan jarak jauh” Android TV dan merupakan RCE yang dilacak sebagai CVE-2021-0889.
Memanfaatkan kelemahan ini akan memungkinkan penyerang di dekat perangkat untuk mengeksekusi kode tanpa hak istimewa atau interaksi pengguna.
Cara kerja level patch Android
Google merilis setidaknya dua di antaranya setiap bulan, dan untuk November, tanggal 21-11-01, 2021-11-05, dan 2021-11-06.
Mereka yang melihat peringatan pembaruan ditandai sebagai 2021-11-01, itu berarti mereka akan mendapatkan yang berikut:
- Patch kerangka November
- Patch kerangka Oktober
- Vendor dan kernel Oktober
Mereka yang melihat level patch 2021-11-05 atau 2021-11-06 akan menerima semua hal di atas, ditambah vendor November dan patch kernel.
Ini adalah patch keamanan pertama untuk Android 12 yang baru saja dirilis, tetapi banyak perbaikan kembali ke versi 11, 10, dan 9, tergantung pada cakupan kerentanan yang ditangani. Jika Anda menggunakan versi Android yang lebih lama, Anda tidak tercakup oleh level patch ini, dan perangkat Anda rentan terhadap satu lagi kelemahan yang dieksploitasi secara aktif.
Terakhir, ini adalah level patch pertama yang tidak dikirimkan ke Pixel 3, yang menandai berakhirnya dukungan resmi untuk salah satu perangkat Google yang paling dicintai.
Selengkapnya: Bleeping Computer
