Tijdens de patchcyclus van september heeft Google een actief aangevallen zerodaylek in Android verholpen. Via de kwetsbaarheid kan een app of aanvaller die al toegang tot de telefoon heeft zijn rechten, zonder enige interactie van gebruikers, verhogen. Er zijn echter ook verschillende kritieke lekken waardoor het mogelijk is om Androidtelefoons op afstand over te nemen.
Het zerodaylek, aangeduid als CVE-2023-35674, bevindt zich in het Android Framework. Google geeft geen details over de waargenomen aanvallen. Via het beveiligingslek is 'local escalation of privilege' mogelijk. Aangezien een aanvaller al toegang tot het toestel moet hebben is de impact als 'high' beoordeeld.
In Android System zijn echter drie kwetsbaarheden verholpen die als 'kritiek' zijn aangemerkt. Via deze beveiligingslekken (CVE-2023-35658, CVE-2023-35673 en CVE-2023-35681) kan een aanvaller op afstand de telefoon overnemen. Google geeft geen verdere details over de problemen, maar stelt tussen haakjes dat een aanvaller "dichtbij" zou moeten zijn. Mogelijk gaat het dan om een aanval via bluetooth, maar dat is zonder verdere details niet met zekerheid te zeggen.
Daarnaast is er ook een kritieke kwetsbaarheid in de code van chipfabrikant Qualcomm verholpen. Dit beveiligingslek, aangeduid als CVE-2023-28581, bevindt zich in de wifi-firmware van verschillende chipsets. Een remote aanvaller kan door middel van GTK's (Group Temporal Keys) voor memory corruption zorgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de september-updates ontvangen zullen '2023-09-01' of '2023-09-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van september aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 11, 12, 12L en 13.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.