Android-updates verhelpen kritieke beveiligingslekken
Google heeft het beveiligingsbulletin van juli voor Android 12 tot en met 14 gepubliceerd. In totaal zijn er 27 kwetsbaarheden verholpen in het mobiele systeem.
Geschreven door: Frank Ziemann
Gepubliceerd door PCWELT
Twee patchniveaus in het beveiligingsbulletin
Met het Android-beveiligingsbulletin voor juli 2024 documenteert Google de kwetsbaarheden van het mobiele besturingssysteem die zijn ontwikkelaars hebben verholpen in de opensourcecode, meestal op de eerste maandag van de maand. Beveiligingspatches van de Linux-kernel en beveiligingsgerelateerde bugfixes van chipfabrikanten worden ook opgenomen. Voor zijn Pixel-apparaten publiceert Google een apart rapport met verholpen beveiligingsproblemen, maar vaak met enige vertraging.
Twee patchniveaus in het beveiligingsbulletin
De verholpen beveiligingslekken worden meestal verdeeld over twee zogenaamde patchniveaus. Het eerste, 2024-07-01, bevat de gesloten AOSP-gaten (Android Open Source Project). Patchniveau 2024-07-05 documenteert de gedichte gaten in de Linux-kernel (voor zover deze van invloed zijn op Android) en in de chipsets van verschillende leveranciers. Deze laatste hebben slechts invloed op een deel van de Android-apparaten, omdat de fabrikanten verschillende hardwarecomponenten gebruiken. Google verplicht de fabrikanten dan ook om de juiste beveiligingspatches te implementeren.
Patchniveau 2024-07-01 met één kritieke kwetsbaarheid
Voor patchniveau 2024-07-01 vermeldt het beveiligingsbulletin van juli slechts acht geëlimineerde kwetsbaarheden in de kerncomponenten van het besturingssysteem. Google classificeert de kwetsbaarheid CVE-2024-31320 in het raamwerk als kritiek. De kwetsbaarheden zijn geclassificeerd als hoog risico. Uitbuiting van de meeste kwetsbaarheden kan een aanvaller uitgebreide lokale privileges (EoP) geven. Alleen CVE-2024-34721 is een datalek.
Er worden updates verspreid via Google Play als onderdeel van het Mainline-project, die twee van de acht kwetsbaarheden in het systeem moeten verhelpen (CVE-2024-34721, CVE-2024-31339). Deze updates zijn bedoeld voor apparaten met Android 12 tot 14 die niet langer door de fabrikant worden ondersteund.
Patchlevel 2024-07-05 met een kritieke kwetsbaarheid
Voor het hardwaregerelateerde patchniveau 2024-07-05 vermeldt het bulletin van juli 19 gesloten kwetsbaarheden. Hieronder bevindt zich een kwetsbaarheid in een naamloos onderdeel van chipfabrikant Qualcomm dat als kritiek is aangemerkt. Alle andere kwetsbaarheden zijn geclassificeerd als hoog risico. Ze zijn verspreid over componenten van chipleveranciers ARM (Mali GPU), Imagination Technologies (PowerVR GPU), Mediatek en Qualcomm. Er is ook een gedicht EoP-gat in de Linux-kernel (CVE-2024-26923).
Pixel update bulletin
Het aparte bulletin voor Google's Pixel-apparaten is nog niet vrijgegeven voor deze maand. De vertraging kan variëren van een dag tot enkele weken, Google specificeert geen data. Het Pixel bulletin van juni documenteert 50 beveiligingslekken, waarvan sommige kritiek, waaronder een 0-day gat in de Pixel firmware.
Update 3 juli - Pixel bulletin
Een dag na het Android Security Bulletin publiceerde Google ook het Pixel Update Bulletin voor juli. In tegenstelling tot de vorige maand zijn er in juli slechts vier beveiligingslekken verholpen. Alle vier hebben betrekking op de Qualcomm Wi-Fi-module en zijn gecategoriseerd als gemiddeld risico. Er zijn ook verbeteringen aan de stabiliteit van de camera, gebarenbesturing en het systeem. [Update einde]
Het aantal smartphone- en tabletfabrikanten dat min of meer regelmatig beveiligingsupdates voor hun apparaten uitbrengt is de afgelopen jaren toegenomen, maar er is nog genoeg ruimte voor verbetering. Temeer omdat sommige fabrikanten alleen maandelijkse updates bieden voor hun dure topmodellen. Terwijl Samsung de updates snel levert, vaak zelfs eerder dan Google, lopen andere fabrikanten soms weken (of langer) achter.