Google meldt actief aangevallen zerodaylekken in Android
Google waarschuwt eigenaren van een Androidtelefoon voor twee actief aangevallen zerodaylekken, alsmede een kritieke kwetsbaarheid waarmee toestellen op afstand zijn over te nemen. Tijdens de patchronde van oktober heeft het techbedrijf in totaal 53 beveiligingslekken in Android verholpen.
Twee van deze kwetsbaarheden, CVE-2023-4863 en CVE-2023-421, worden inmiddels actief bij aanvallen gebruikt, zo laat Google weten. CVE-2023-4863 betreft een kritieke kwetsbaarheid in WebP, een door Google ontwikkeld bestandsformaat dat de formaten JPEG, PNG en GIF zou moeten vervangen. Via dit kritieke beveiligingslek is remote code execution mogelijk als er een malafide WebP-afbeelding wordt verwerkt. Verdere details zijn niet gegeven. Eerder kwam Google al met een update voor dit lek in Chrome. Volgens het techbedrijf is de kwetsbaarheid gebruikt door een commerciële spywareleverancier.
De tweede zeroday bevindt zich in de ARM Mali GPU-kerneldriver en maakt het mogelijk voor een aanvaller die al toegang tot de telefoon heeft om toegang tot vrijgemaakt geheugen te krijgen. Verdere details zijn niet door ARM gegeven, behalve dat het beveiligingslek door onderzoekers van Google is gevonden.
Naast de aangevallen zerodaylekken verdient kwetsbaarheid CVE-2023-40129 de aandacht. Dit beveiligingslek bevindt zich in het System-onderdeel van Android een laat een aanvaller op afstand code op de telefoon uitvoeren, zonder dat enige interactie van gebruikers of speciale permissies vereist zijn. Google geeft geen verdere details over het probleem, maar stelt tussen haakjes dat een aanvaller "dichtbij" zou moeten zijn. Mogelijk gaat het dan om een aanval via bluetooth, maar dat is zonder verdere details niet met zekerheid te zeggen.
Naast beveiligingslekken in de eigen Androidcode heeft Google ook verschillende kwetsbaarheden in code van derde partijen verholpen waar Android ook gebruik van maakt. Het gaat onder andere om drie kritieke beveiligingslekken (CVE-2023-24855, CVE-2023-28540 en CVE-2023-33028) in de code van chipgigant Qualcomm die op afstand zijn te misbruiken en onder andere tot een buffer overflow kunnen leiden. Eén van deze kwetsbaarheden bevindt zich in de wifi-firmware.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen '2023-10-01' of '2023-10-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
eeuwig.
eeuwig.
Haha! Nee, het zou net zolang moeten duren als elke andere firmware update aangezien de firmware altijd wordt overschreven door de nieuwe firmware, dus het gaat hier niet om een steeds groter wordend bestand of iets dergelijks.
Met een A/B partitionering (mits de telefoon dat heeft) is het zo dat bijv. partitie A wordt overschreven terwijl de firmware op partitie B nog draaiende is, tijdens de reboot zal de firmware overschakelen op partitie A, de nieuwe firmware, bij de volgende update zal dat partitie B zijn.
Dankzij fallback protection zal deze methode niet snel geëxploiteerd worden.
Een update zou voor iedereen niet meer dan ca. tien minuten in beslag mioeten nemen.
Moet ik mij nu zorgen maken om de beveiliging van deze telefoon?
NB: Google Chrome wordt nog wel steeds geupdate.
Ik koop alleen toestellen die bij voorbaat al LineageOS support hebben, zoals de net uitgekomen Edge 40 Pro ditmaal.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.