Androidtelefoons bevatten opnieuw een kwetsbaarheid waardoor remote code execution mogelijk is, zo laat Google weten. Het techbedrijf heeft beveiligingsupdates beschikbaar gemaakt. De kwetsbaarheid (CVE-2024-43091) in het System-onderdeel van Android laat een aanvaller op afstand code uitvoeren op Android 12, 12L, 13, 14 en 15, zonder dat aanvullende 'execution privileges' zijn vereist.
Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven. Zo is onduidelijk hoe een aanvaller de kwetsbaarheid zou kunnen misbruiken. Vorige maand waarschuwde Google ook al voor een RCE-kwetsbaarheid in het System-onderdeel.
Daarnaast is er ook een kritieke kwetsbaarheid (CVE-2024-38408) in een onderdeel van chipfabrikant Qualcomm verholpen. Het gaat om 'cryptografische problemen' met de Bluetooth-controller. Verdere details zijn niet gegeven, behalve dat misbruik op afstand kan plaatsvinden en Qualcomm het beveiligingslek als kritiek heeft bestempeld. Google komt elke maand met updates voor Android. In totaal zijn er met de patchronde van november 46 kwetsbaarheden verholpen.
Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.