Google dicht 140 beveiligingslekken in Android
Google heeft tijdens de patchronde van juli een recordaantal beveiligingslekken in Android gepatcht, namelijk 140. Niet eerder werden er in één maand zoveel kwetsbaarheden in het besturingssysteem opgelost. Elf van de kwetsbaarheden zijn als "ernstig" aangeduid.
Via dergelijke lekken kan een aanvaller in het ergste geval willekeurige code uitvoeren, zoals het installeren van kwaadaardige apps, en volledige permanente controle krijgen. De ernstige kwetsbaarheden zijn aanwezig in het Media framework en de wifi-driver van Broadcom. Ook was het mogelijk voor kwaadaardige apps om code met kernelrechten uit te voeren. Veel van de beveiligingslekken bevonden zich in de drivers voor video, wifi, geluid, netwerk en andere onderdelen, alsmede de bootloader.
Net als vorige maanden is het grote aantal verholpen kwetsbaarheden deze maand te verklaren doordat updates die Qualcomm de afgelopen jaren voor de eigen software uitbracht aan de patchronde zijn toegevoegd. Het gaat om problemen die in 2014, 2015 en 2016 werden gepatcht. Google heeft updates voor Nexus- en Pixel-toestellen uitgebracht. Wanneer andere fabrikanten hun updates uitrollen laat Google niet weten.
https://www.security.nl/posting/506464/Google+dicht+107+beveiligingslekken+in+Android
en dan te bedenken dat deze updates niet /of niet direct worden meegenomen op mobiles van o.a. Samsung. Is het nog wel veilig om zo'n niet up2date mobile te gebruiken? of zijn de lekjes niet zo ernstig?
Toegegeven, het is niet eenvoudig om het 'dicht' te krijgen. Maar simpele dingen als buffer overflows mogen we anno 2014, 2015, 2016 of 2017 toch zo zachtjes aan de baas kunnen zijn. 'Special packets' in netwerkverkeer of plaatjes ofzo... Meer dan wat sanity checks op je input data is het niet. Het lijkt er wel op of men expres zoveel rottigheid implementeert om updates uit te kunnen brengen (en natuurlijk de geheime diensten een mooie ingang te bieden...).
Overigens is het functioneel ook best triest. Telefoon heeft gelukkig geen data access, maar zo nu en dan moet die ff uit omdat Android de weg kwijt is over de (volle) accu status en dan maar zeurt dat die leeg is, power save mode, etc, etc. Het zal wel rocket science zijn...
kun/kan je niet eens updaten nog steeds ver 4.11 of ver 4.2.2
oplichters van google en de telefoon maatschappijen er bij
kopen kopen maar niet updaten lang leven de smartphone.
Alle software bevat problemen ('lekken'). Veel gedichte lekken wijst op een goede kwaliteitsbewaking.
Beter is een bekend aantal fouten laten zitten of inbrengen en kijken of die terugkomen uit testen.
Ik hoop ook dat een van mijn telefoons deze update krijgt,de moto g5 van motorola en Lenovo.
Wel las ik dat ze Android o zouden krijgen de versie 8 van Android ooit eens.
Ik neem aan dat de lekken in deze versie verholpen zijn.
geld dit ook voor tabletten?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
