Androidtelefoons wederom kwetsbaar voor remote code execution
Voor de derde maand op rij bevatten Androidtelefoons een kwetsbaarheid die remote code execution (RCE) mogelijk maakt. Google heeft updates uitgebracht om het probleem te verhelpen. Net als in oktober en november bevindt de RCE-kwetsbaarheid zich in het System-onderdeel van Android. Het beveiligingslek laat een aanvaller op afstand code uitvoeren op Android 12, 12L, 13, 14 en 15, zonder dat aanvullende 'execution privileges' zijn vereist.
Hoewel het hier om een RCE-kwetsbaarheid gaat heeft Google de impact van het probleem als 'high' bestempeld. Verdere details zijn niet in het beveiligingsbulletin gegeven. Zo is onduidelijk hoe een aanvaller de kwetsbaarheid (CVE-2024-43767) zou kunnen misbruiken. De overige kwetsbaarheden die Google deze maand in Android heeft verholpen maken het mogelijk voor malafide apps of gebruikers om hun rechten te verhogen, zonder dat hiervoor extra 'execution privileges' zijn vereist.
Patchniveau
Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de december-updates ontvangen zullen '2024-11-01' of '2024-11-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van december aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 12, 12L,13, 14 en 15Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit.
blijft een wonder dat dat allemaal maar zo 'moeilijk' is
Zie https://download.lineageos.org/changes
Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)
GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?
Bestaat er ergens een redelijk eerlijke vergelijking?
Zie https://download.lineageos.org/changes
Is dit gewoon een LineageOS SPAM losse flodder opmerking ?
Ik zie namelijk helemaal niets met betrekking tot een security update / de genoemde CVE in de changelog staan ... ?
Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)
GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?
Bestaat er ergens een redelijk eerlijke vergelijking?
https://eylenburg.github.io/android_comparison.htm
GrapheneOS is bij verreweg de beste, en al helemaal aangezien deze verofied boot heeft, vaak heeft LineageOS dat niet.
DivestOS is ook niet slecht als tweede plaats, ook die heeft op Pixel-apparaten verified boot.
Nu jij die noemt, laat ik maar de vraag stellen die bij mij gisteren rees.
(zonder direct in een os-flamewar te komen s.v.p.)
GrapheneOS heb ik reeds, en ben daarover uiterst tevreden.
Moet ik wellicht LineageOS of CalyxOS eens proberen?
Bestaat er ergens een redelijk eerlijke vergelijking?
LineageOS is de basis voor vele ander mods, GrapheneOS is dat dacht ik niet van LineageOS afgeleid, maar veel code komt via up-streaming naar Google uiteindelijk ook in andere distributies terecht.
Zie https://download.lineageos.org/changes
Ik zie namelijk helemaal niets met betrekking tot een security update / de genoemde CVE in de changelog staan ... ?
Kijk voor een toestel (device) en dan zie je dat er steeds, eens per maand, een commit is als
platform android_build_release
Graphene OS is AOS + minus GSF (optioneel) +hardening.
veel componenten zijn aangepast. Er is een GSF schil waarbij google play ook gewoon een 2nd class citizen is. Je kan het ook geisoleerd in een ander account draaien.
google play is geheel optioneel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.