Google dicht kritieke kwetsbaarheden in Android
Google heeft het beveiligingsbulletin van januari voor Android 12 tot en met 15 gepubliceerd.
Het bevat in totaal 36 verholpen kwetsbaarheden, waarvan een aantal als kritiek wordt beschouwd.
Afbeelding: fz
Frank Ziemann van PCWelt laat weten dat updates voor Android phones zijn.
Met het Android Beveiligingsbulletin voor januari 2025 documenteert Google, zoals gebruikelijk op de eerste maandag van de maand, de kwetsbaarheden van het mobiele besturingssysteem die zijn ontwikkelaars hebben verholpen in de open source code. Beveiligingspatches van de Linux-kernel en beveiligingsgerelateerde bugfixes van chipfabrikanten worden ook opgenomen. Google publiceert een apart rapport voor zijn Pixel-apparaten met gepatchte beveiligingslekken - maar vaak met enige vertraging.
Twee patchniveaus in het beveiligingsbulletin
De gedichte beveiligingslekken worden meestal verdeeld over twee zogenaamde patchniveaus.
Het eerste, 2025-01-01, bevat de gesloten AOSP-gaten (Android Open Source Project). Patchniveau 2025-01-05 documenteert de gedichte gaten in de Linux kernel (voor zover ze Android beïnvloeden) en in de chipsets van verschillende leveranciers. Deze laatste hebben slechts invloed op een deel van de Android-apparaten, omdat de fabrikanten verschillende hardwarecomponenten gebruiken.
Google verplicht de fabrikanten dan ook om de juiste beveiligingspatches te implementeren.
Patchniveau 2025-01-01 met vijf kritieke kwetsbaarheden
Voor patchniveau 2025-01-01 vermeldt het beveiligingsbulletin van januari 24 geëlimineerde kwetsbaarheden in de kerncomponenten van het besturingssysteem. Negen hiervan bevinden zich in het framework, 14 in het systeem en één in het media framework. Google classificeert vijf RCE-kwetsbaarheden (RCE: remote code execution) in het systeem als kritiek. Deze kwetsbaarheden zijn van invloed op alle Android-versies (12 tot 15). Google classificeert de andere kwetsbaarheden als hoog risico. Uitbuiting van de meeste kwetsbaarheden kan een aanvaller uitgebreide lokale rechten (EoP) geven. Geen van de kwetsbaarheden is tot nu toe misbruikt voor aanvallen - voor zover bekend.
Patchniveau 2025-01-05 met een kritieke kwetsbaarheid
Voor het hardwaregerelateerde patchniveau 2025-01-05 vermeldt het bulletin van januari 12 gepatchte kwetsbaarheden, waaronder geen 0-day kwetsbaarheid. Op één na zijn alle kwetsbaarheden geclassificeerd als hoog risico. Ze zijn verspreid over componenten van chipleveranciers Imagination Technologies (PowerVR GPU), Mediatek en Qualcomm. Een kwetsbaarheid in de modemcomponent van Mediatek (CVE-2024-20154) is geclassificeerd als kritiek.
Pixel update bulletin behandelt een kritieke kwetsbaarheid
Het aparte bulletin voor Google's Pixel-apparaten werd een dag na het algemene Android-beveiligingsbulletin gepubliceerd.
Het Pixel Update Bulletin van januari documenteert slechts één verholpen kwetsbaarheid in Pixel-apparaten. Google classificeert de RCE-kwetsbaarheid CVE-2024-53842 in de basebandcomponent als kritiek. Het aantal niet-beveiligingsgerelateerde bugfixes dat is gepubliceerd in het Pixel Community Forum is ook vrij beperkt.
Het aantal smartphone- en tabletfabrikanten dat min of meer regelmatig beveiligingsupdates voor hun apparaten uitbrengt, is de afgelopen jaren toegenomen,
maar er is nog genoeg ruimte voor verbetering. Temeer omdat sommige fabrikanten alleen maandelijkse updates bieden voor hun dure topmodellen.
Terwijl Samsung de updates snel levert, vaak zelfs eerder dan Google, lopen andere fabrikanten soms weken (of langer) achter.
Informatie over apparaatupdates per fabrikant:
Google heeft het beveiligingsbulletin van januari voor Android 12 tot en met 15 gepubliceerd.
Het bevat in totaal 36 verholpen kwetsbaarheden, waarvan een aantal als kritiek wordt beschouwd.
Afbeelding: fz
Met het Android Beveiligingsbulletin voor januari 2025 documenteert Google, zoals gebruikelijk op de eerste maandag van de maand, de kwetsbaarheden van het mobiele besturingssysteem die zijn ontwikkelaars hebben verholpen in de open source code. Beveiligingspatches van de Linux-kernel en beveiligingsgerelateerde bugfixes van chipfabrikanten worden ook opgenomen. Google publiceert een apart rapport voor zijn Pixel-apparaten met gepatchte beveiligingslekken - maar vaak met enige vertraging.
Twee patchniveaus in het beveiligingsbulletin
De gedichte beveiligingslekken worden meestal verdeeld over twee zogenaamde patchniveaus.
Het eerste, 2025-01-01, bevat de gesloten AOSP-gaten (Android Open Source Project). Patchniveau 2025-01-05 documenteert de gedichte gaten in de Linux kernel (voor zover ze Android beïnvloeden) en in de chipsets van verschillende leveranciers. Deze laatste hebben slechts invloed op een deel van de Android-apparaten, omdat de fabrikanten verschillende hardwarecomponenten gebruiken.
Google verplicht de fabrikanten dan ook om de juiste beveiligingspatches te implementeren.
Patchniveau 2025-01-01 met vijf kritieke kwetsbaarheden
Voor patchniveau 2025-01-01 vermeldt het beveiligingsbulletin van januari 24 geëlimineerde kwetsbaarheden in de kerncomponenten van het besturingssysteem. Negen hiervan bevinden zich in het framework, 14 in het systeem en één in het media framework. Google classificeert vijf RCE-kwetsbaarheden (RCE: remote code execution) in het systeem als kritiek. Deze kwetsbaarheden zijn van invloed op alle Android-versies (12 tot 15). Google classificeert de andere kwetsbaarheden als hoog risico. Uitbuiting van de meeste kwetsbaarheden kan een aanvaller uitgebreide lokale rechten (EoP) geven. Geen van de kwetsbaarheden is tot nu toe misbruikt voor aanvallen - voor zover bekend.
Patchniveau 2025-01-05 met een kritieke kwetsbaarheid
Voor het hardwaregerelateerde patchniveau 2025-01-05 vermeldt het bulletin van januari 12 gepatchte kwetsbaarheden, waaronder geen 0-day kwetsbaarheid. Op één na zijn alle kwetsbaarheden geclassificeerd als hoog risico. Ze zijn verspreid over componenten van chipleveranciers Imagination Technologies (PowerVR GPU), Mediatek en Qualcomm. Een kwetsbaarheid in de modemcomponent van Mediatek (CVE-2024-20154) is geclassificeerd als kritiek.
Pixel update bulletin behandelt een kritieke kwetsbaarheid
Het aparte bulletin voor Google's Pixel-apparaten werd een dag na het algemene Android-beveiligingsbulletin gepubliceerd.
Het Pixel Update Bulletin van januari documenteert slechts één verholpen kwetsbaarheid in Pixel-apparaten. Google classificeert de RCE-kwetsbaarheid CVE-2024-53842 in de basebandcomponent als kritiek. Het aantal niet-beveiligingsgerelateerde bugfixes dat is gepubliceerd in het Pixel Community Forum is ook vrij beperkt.
Het aantal smartphone- en tabletfabrikanten dat min of meer regelmatig beveiligingsupdates voor hun apparaten uitbrengt, is de afgelopen jaren toegenomen,
maar er is nog genoeg ruimte voor verbetering. Temeer omdat sommige fabrikanten alleen maandelijkse updates bieden voor hun dure topmodellen.
Terwijl Samsung de updates snel levert, vaak zelfs eerder dan Google, lopen andere fabrikanten soms weken (of langer) achter.
Informatie over apparaatupdates per fabrikant: