Google verhelpt ernstige beveiligingslekken in Android

doorSecuratis

Google verhelpt ernstige beveiligingslekken in Android

Google heeft deze maand meerdere ernstige beveiligingslekken in Android verholpen waardoor een aanvaller op afstand toegang tot kwetsbare toestellen had kunnen krijgen. In totaal zijn er deze maand 28 beveiligingslekken in het besturingssysteem gepatcht. Elf daarvan zijn er als ernstig bestempeld.

Deze kwetsbaarheden bevonden zich in het Media-framework en onderdelen van chipfabrikant Qualcomm. Via de lekken in het Media-framework kon een aanvaller op afstand willekeurige code op toestellen uitvoeren als er een speciaal geprepareerd bestand naar het doelwit werd verstuurd, bijvoorbeeld via mms of e-mail.

Zerodaylek

Voor Pixel 1- en 2-toestellen heeft Google een beveiligingsupdate uitgebracht waarmee een zerodaylek wordt verholpen. Deze kwetsbaarheid werd actief aangevallen voordat de patch beschikbaar was. Via dit lek kon een aanvaller die al toegang tot een Androidtoestel had volledige controle over het apparaat kan krijgen.

Om misbruik van de kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, was een aanvullend beveiligingslek vereist. Het zerodaylek alleen was niet voldoende om toegang tot een Androidtoestel te krijgen. Naast de Pixel 1- en 2-toestellen is dit lek ook aanwezig in de meeste Androidtoestellen die voor de herfst van 2018 zijn uitgekomen. Of en wanneer deze toestellen een update ontvangen is onbekend.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de oktober-updates ontvangen zullen ‘2019-10-01’ of ‘2019-10-05’ als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van oktober aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.

https://www.security.nl/posting/626998/Google+verhelpt+ernstige+beveiligingslekken+in+Android?channel=rss

Over de auteur

Securatis administrator