Google heeft zes kritieke bugs in Android Open Source Project gedicht. De geüpdatete versies worden naar alle Nexus-apparaten vanaf Nexus 5 gestuurd via een over-the-air-update. De gevaarlijkste bug zit wederom in de mediaserver en kan via een besmet bestand uitgevoerd worden.
Het is mogelijk voor een aanvaller om met deze mediaserver-bug op afstand code uit te voeren via e-mail, de webbrowser of mms bij het verwerken van mediabestanden. Google schrijft op zijn Android Security Bulletin dat er vooralsnog geen berichten zijn van misbruik van de gevonden bugs. Details over deze kritieke bugs met cve-nummers CVE-2016-2428 en -2429 zijn nog niet bekendgemaakt.
Om de bug te misbruiken moet een geïnfecteerd mediabestand, zoals een video, aangeboden worden via één van de bovenstaande methodes. De methode doet denken aan de Stagefright-bugs die de Android-wereld afgelopen jaar teisterden. Via het geïnfecteerde bestand wordt vervolgens het geheugen gecorrumpeerd, waarna code op afstand uitgevoerd kan worden als een proces van de mediaserver.
De andere vijf als kritiek aangemerkte bugs, gaan onder andere over de mogelijkheid om code uit te voeren binnen de Android-debugger, de mogelijkheid om extra toegangsrechten te krijgen via de Nvidia-videodriver, via een Qualcomm-wifi-driver, binnen de Qualcomm TrustZone-kernel en een kwetsbaarheid in de kernel waarmee ook verruimde toegangsrechten te verkrijgen zijn. In alle gevallen is het mogelijk om een apparaat permanent over te nemen, waarna een apparaat opnieuw geflasht moet worden.
De hele lijst van veertig gepatchte bugs is te vinden op het Security Bulletin. De patches werken voor aosp versie 4.4.4 of hoger, waar bijna 74 procent van alle Android-apparaten op draait. Fabrikanten van toestellen moeten de patches wel verwerken in hun versies van Android. Google zal zelf Nexus-toestellen vanaf versie 5 en hoger updaten.