Google waarschuwt voor lek waardoor Androidtelefoons zijn over te nemen
Google waarschuwt bezitters van een Androidtelefoon voor twee kritieke kwetsbaarheden waardoor het toestel op afstand en zonder enige interactie van gebruikers is over te nemen. Er zijn beveiligingsupdates verschenen om de problemen te verhelpen. De twee kwetsbaarheden, aangeduid als CVE-2023-21085 en CVE-2023-21096, bevinden zich in het Android System.
Google geeft geen details over de beveiligingslekken, behalve dat die remote code execution zonder interactie van de gebruiker mogelijk maken. Een aanvaller zou zich wel in de buurt van het slachtoffer moeten bevinden. Dat kan op een aanval via bijvoorbeeld bluetooth duiden, maar zonder verdere informatie is dit niet met zekerheid te zeggen. Vorige maand kwam Google ook al met updates voor twee kritieke kwetsbaarheden in het System-onderdeel van Android waardoor remote code execution mogelijk is.
Naast de twee kritieke lekken in de Androidcode zijn er deze maand ook vier kritieke kwetsbaarheden in onderdelen van chipfabrikant Qualcomm verholpen. Geen van deze beveiligingslekken is echter op afstand te misbruiken. Een aanvaller moet al toegang tot het toestel hebben. In totaal heeft Google deze maand 68 kwetsbaarheden in Android gerepareerd.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de april-updates ontvangen zullen '2023-04-01' of '2023-04-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van april aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Ik mis deze informatie een beetje, en het maakt nogal uit!
Is een verschil tussen "was niet kwetsbaar" en "wel kwetsbaar, maar word niet meer gepatcht".
hTp#7f%
Ik mis deze informatie een beetje, en het maakt nogal uit!
Is een verschil tussen "was niet kwetsbaar" en "wel kwetsbaar, maar word niet meer gepatcht".
hTp#7f%
Wel kwetsbaar, wordt niet gepatched.
Ik mis deze informatie een beetje, en het maakt nogal uit!
Is een verschil tussen "was niet kwetsbaar" en "wel kwetsbaar, maar word niet meer gepatcht".
hTp#7f%
Dat is vrij eenvoudig te achterhalen https://endoflife.date/android
Ik mis deze informatie een beetje, en het maakt nogal uit!
Is een verschil tussen "was niet kwetsbaar" en "wel kwetsbaar, maar word niet meer gepatcht".
hTp#7f%
uit het artikel:
"Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit."
Leuk dat Google ons informeerd, maar jammer dat ze de uitrol van de patches aan de fabrikanten uitbesteed hebben.
Het enige dat ze daar mee kunnen bereiken is dat mensen moe worden van de gaten die gevonden worden en niet gepatcht.
Dat is uiteindelijk slecht voor de merknaam van Google, want zij communiceren dit. Niet de fabrikant.
Het wordt tijd en het is hard nodig dat we weer vakmensen gaan opleiden.
Daarom moet je ook iets kopen wat op zo'n lijst staat ;)
https://wiki.lineageos.org/devices/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.