Google brengt updates uit voor twee actief aangevallen Android-lekken
Tijdens de laatste patchronde van dit jaar heeft Google beveiligingsupdates voor Android uitgebracht, die onder andere twee actief aangevallen kwetsbaarheden verhelpen. Daarnaast is er ook een kritiek lek gepatcht dat remote denial of service (dos)-aanvallen tegen Androidtelefoons mogelijk maakt. De beveiligingsupdates zijn beschikbaar voor Android 13, 14, 15 en 16.
De twee actief aangevallen kwetsbaarheden worden aangeduid als CVE-2025-48633 en CVE-2025-48572 en bevinden zich beide in het Android Frame. CVE-2025-48633 maakt 'information disclosure' mogelijk. Om welke informatie het dan precies gaat laat Google niet weten. Via CVE-2025-48572 kan een aanvaller die al toegang tot een Androidtelefoon heeft, of een malafide app, zijn rechten verhogen. Google geeft geen verdere details over de kwetsbaarheden of waargenomen aanvallen.
De gevaarlijkste kwetsbaarheid die deze maand in Android is verholpen, is volgens Google CVE-2025-48631. Dit beveiligingslek maakt remote denial of service mogelijk, zonder dat een aanvaller bepaalde rechten of permissies nodig heeft. Net als bij de actief aangevallen kwetsbaarheden geeft Google ook over dit beveiligingslek geen verdere informatie, zoals hoe een aanvaller er misbruik van zou kunnen maken en wat precies de gevolgen voor gebruikers zijn.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2025-12-01' of '2025-12-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 13, 14, 15 en 16.Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?