image

Google verhelpt meerdere ernstige Android-lekken die aanvaller code laten uitvoeren

dinsdag 7 juli 2020, 10:02 door Redactie, 7 reacties

Google heeft tijdens de patchronde van juli meerdere kwetsbaarheden in Android verholpen waardoor een aanvaller in het ergste geval code op toestellen kan uitvoeren. In totaal gaat het om 24 beveiligingslekken waarvan er zeven als ernstig zijn beoordeeld.

Drie van de ernstige kwetsbaarheden zijn aanwezig in het Media Framework en System van Android. Van twee van deze beveiligingslekken, CVE-2020-0224 en CVE-2020-0225, zijn nog geen details bekend. De derde kwetsbaarheid, aangeduid als CVE-2020-9589, bevindt zich in de Adobe DNG Software Development Kit (SDK). De Adobe DNG SDK maakt het mogelijk om DNG-bestanden te lezen, schrijven en converteren naar een ander formaat.

De software bevat een heap overflow kwetsbaarheid die via een speciaal geprepareerd bestand is te misbruiken. Ook via de twee andere kwetsbaarheden kan een aanvaller middels een speciaal geprepareerd bestand willekeurige code uitvoeren in de context van een geprivilegieerd proces.

Broadcom

Android bestaat niet alleen uit software van Google. Het besturingssysteem maakt ook gebruik van software die door andere partijen zoals Broadcom, MediaTek en Qualcomm is ontwikkeld. De overige vier ernstige kwetsbaarheden zijn aanwezig in de software van Qualcomm. Twee van de beveiligingslekken, CVE-2020-3698 en CVE-2020-3699, zijn aanwezig in het "WLAN component", maar verdere details worden niet gegeven.

Die details zijn wel beschikbaar voor de andere twee kwetsbaarheden: CVE-2019-9501 en CVE-2019-9502. Deze beveiligingslekken bevinden zich in de wifi-driver van Broadcam. Door het versturen van speciaal geprepareerde wifi-pakketten kan een aanvaller een heap buffer overflow veroorzaken en zo willekeurige code op het systeem uitvoeren of een denial of service veroorzaken.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de juli-updates ontvangen zullen '2020-07-01' of '2020-07-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van juli aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 8.0, 8.1, 9 en 10.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

Reacties (7)
07-07-2020, 11:54 door Anoniem
Top!

Alleen jammer dat mijn telefoon geen updates meer ontvangt, en mijn tablet ook niet.
Het is ook jammer dat we alleen nog Apple als telefoon OS variant hebben, want die hebben hun update/grade systeem wel op orde.

Android is helaas een zooitje.......
07-07-2020, 13:38 door Anoniem
Door Anoniem: Top!

Alleen jammer dat mijn telefoon geen updates meer ontvangt, en mijn tablet ook niet.
Het is ook jammer dat we alleen nog Apple als telefoon OS variant hebben, want die hebben hun update/grade systeem wel op orde.

Android is helaas een zooitje.......
Android is niet zozeer het probleem. Het probleem is vooraf de fabrikant. Kies een toestel dat Android One heeft. Dan is het updatebeleid wel op orde.
07-07-2020, 14:34 door Anoniem
Door Anoniem:
Android is niet zozeer het probleem. Het probleem is vooraf de fabrikant. Kies een toestel dat Android One heeft. Dan is het updatebeleid wel op orde.
Dat valt in praktijk ook tegen, bugs in Android worden hiermee niet opgelost. Is je toestel misschien wel ""veiliger"" maar door al die bugs niet echt werkbaar.
07-07-2020, 14:44 door Anoniem
Android One is voor zover ik weet niet aanwezig op tablets, en bij de telefoons maar bij een handvol leveranciers.
De meeste hebben hun eigen variant en schil om Android.

Google had hun update beleid veel strikter moeten opzetten, nu is het willekeur van de leverancier van je telefoon.
Updates loskoppelen van de leverancier, hooguit controle ivm drivers. Daarna dwingen tot upgraden.

Apple is mij veel te duur, en te 'walled garden', anders was ik al overgestapt. Mis Windows Mobile nog elke dag... Zucht..
07-07-2020, 15:46 door linux4
Door Anoniem: Android One is voor zover ik weet niet aanwezig op tablets, en bij de telefoons maar bij een handvol leveranciers.
De meeste hebben hun eigen variant en schil om Android.

Google had hun update beleid veel strikter moeten opzetten, nu is het willekeur van de leverancier van je telefoon.
Updates loskoppelen van de leverancier, hooguit controle ivm drivers. Daarna dwingen tot upgraden.

Apple is mij veel te duur, en te 'walled garden', anders was ik al overgestapt. Mis Windows Mobile nog elke dag... Zucht..

De prijzen van Apple vallen best mee de laatste tijd. Voor ca. 330 euro heb je een nieuwe SE 2020 i.c.m. een abonnement bij b.v. BelSimpel ook de XR zit op die manier onder de 500 euro en die kan ook nog jaren mee. Je krijgt dan lang updates en prestaties die beter zijn dan gelijk geprijsde Android toestellen.
07-07-2020, 17:36 door Anoniem
Tja hopelijk worden dan ook tv toestellen met android gepatcht,maar goed mijn werktelefoon is een Nokia 2.3 toestel netjes bijgwerkt naar Android one wat er nu op staat met een patch van juni,de patch van deze maand zal misschien nog wel komen.
Ik wacht af. dit toestel zal ook in de herfst denk ik android 11 krijgen.
23-07-2020, 21:28 door Anoniem
Kreeg vanavond op 23 juli 2020 om 21.00 uur ongeveer de patch van 5-7-2020 uitgerold.

Maar ik vind het niet juist dat er mensen met andere Android toestellen rondlopen die geen updates krijgen. Persoonlijk vind ik dat de politiek in Den Haag een wettelijk voorschrift moet maken die fabrikanten verplicht om updates uit te rollen aan iedereen die Android heeft. Ook mensen met een minder grote beurs hebben recht op een veilig toestel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.