Google сделала значительное изменение в ежемесячном выпуске Android Security Bulletin (ASB), связанное с его стратегией обновления безопасности для Android-устройств. Теперь существует два типа выпуска: публичный ASB, который выходит первого понедельника каждого месяца, и частный ASB, который поставляется производителям телефонов и поставщикам чипов на 30 дней раньше. Это позволяет производителям тестировать и готовить исправления до публичного релиза.
Главное нововведение — внедрение системы Risk-Based Update System (RBUS). Теперь Google публикует ежемесячно только информацию о “высокорисковых” уязвимостях, которые необходимо исправить немедленно — например, те, что используются в активных атаках или являются частью цепочки эксплуатации. Большинство других исправлений безопасности теперь будут выходить раз в квартал. Это меняет привычный ритм выпуска патчей и облегчает производителям задачу по регулярному выпуску обновлений.
Ранее уязвимости с пометкой “критические” или “высокая серьезность” публиковались каждый месяц, но теперь “высокорисковые” — это особая категория, которая требует срочных мер. Вследствие этого обновление может приходить с функциональными патчами без упоминания уязвимостей, как это было, например, с июльским выпуском для Google Pixel, где не было найдено уязвимостей для исправления, но были исправлены ошибки функционала.
Для пользователей это означает, что на некоторых моделях, особенно бюджетных и среднеценовых, обновления безопасности могут выходить реже — раз в квартал или даже реже, что увеличивает риски эксплуатации устройства. Тем не менее, установка всех доступных обновлений по мере их выпуска остаётся важным шагом для защиты данных и устройства.
Таким образом, Google стремится сбалансировать требования безопасности и удобства выпуска обновлений для большого разнообразия Android-устройств, тем самым улучшая качество и своевременность обновлений для большей части пользователей.
