Google выпустила необычайно огромный бюллетень безопасности, описывающий 108 уязвимостей. Исправления разделены на 2 уровня. Разделение исправления на 2 уровня требуется для обеспечения более гибкого управления процессом доставки патчей на конечные устройства пользователей.
Первый уровень устраняет уязвимости непосредственно в ОС Android. 7 критических уязвимостей, позволяющих удаленно выполнить произвольный код были обнаружены в компоненте Mediaserver. Злоумышленник может заполучить полный контроль над уязвимым устройством во время просмотра сайтов в сети Интернет, чтения MMS или email-сообщений, просмотра видеофайлов. Еще одна критическая уязвимость относится к OpenSSL и BoringSSL.
Остальные исправленные уязвимости позволяют, в основном, повысить привилегии на системе и заполучить доступ к потенциально важным данным. Ошибки безопасности присутствуют в различных библиотеках, службах, реализации Bluetooth и Framework API.
Второй уровень обновления содержит исправления, относящиеся непосредственно к конкретным производителям устройств. Речь идет в большинстве случаев об уязвимостях повышения привилегий, присутствующий в драйверах Qualcomm, NVIDIA и MediaTek, компонентах драйверов и некоторых ошибках в ядре ОС. В настоящее время нет информации об активной эксплуатации исправленных уязвимостей злоумышленниками. (Google/NovostIT)