Het Android-beveiligingsbulletin is zojuist bijgewerkt met de release-opmerkingen voor december. Deze bron is ideaal om op de hoogte te blijven van het spectrum aan problemen, zowel kritiek als weinig impact, die van invloed zijn op Android-apparaten. In deze update heeft Android meer dan 80 kwetsbaarheden verholpen, waarvan vele van kritieke ernst waren.
Als een softwarefout een van de volgende situaties veroorzaakt, wordt dit als kritiek beschouwd:uitvoering van willekeurige code, bypass van softwaremechanismen, rtoegang op afstand tot gevoelige inloggegevens, remote-bypass, remote aanhoudende DoS, of remote veilige opstartbypass. Het bulletin benadrukt: “De ernstigste kwetsbaarheid in deze sectie zou kunnen leiden tot escalatie van bevoegdheden op afstand zonder dat extra uitvoeringsrechten nodig zijn. Gebruikersinteractie is niet nodig voor exploitatie.”
Google brengt maandelijkse updates uit voor Android om ervoor te zorgen dat apparaten beschermd blijven tegen de nieuwste bedreigingen. Het gebruik van een verouderde telefoon vormt misschien geen grote bedreiging, maar vormt wel een veiligheidsrisico dat gemakkelijk kan worden vermeden. In de laatste updateronde heeft Android meer dan 80 bedreigingen aangepakt; Hiertoe behoorden vier kritieke kwetsbaarheden.
De kritieke bedreigingen worden bijgehouden als CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 en CVE-2023-45866. CVE staat voor Common Vulnerabilities and Exposures en functioneert als een naamgevingsconventie waarmee beveiligingsprofessionals specifieke bedreigingen kunnen opsporen en ernaar kunnen verwijzen. We zullen niet te technisch worden bij het uiteenzetten van deze kritieke kwetsbaarheden, maar laten we eens kijken wat ze allemaal zijn.
CVE-2023-40077 is een beveiligingsprobleem binnen de MetaDataBase.cpp-functies. Dit probleem is een Use-After-Free (UAF)-schrijfkwetsbaarheid die voortkomt uit een race condition. In eenvoudiger bewoordingen ontstaat er een race condition wanneer softwaregedrag afhangt van de timing van gebeurtenissen, waardoor onvoorspelbare uitkomsten ontstaan.
Kritieke kwetsbaarheden voor Android kan leiden tot escalatie van bevoegdheden op afstand zonder dat extra uitvoeringsrechten nodig zijn
CVE-2023-40076 biedt een mogelijkheid voor ongeautoriseerde toegang tot inloggegevens van andere gebruikers. Bovendien ligt de hoofdoorzaak in het omzeilen van machtigingen, wat mogelijk de weg kan vrijmaken voor lokale escalatie van bevoegdheden.
CVE-2023-40088 is een RCE-bug met nul klikken. Als deze dreiging wordt uitgebuit, kunnen niet-geverifieerde externe gebruikers code op een apparaat uitvoeren. CVE-2023-45866 vormt een bedreiging voor Android-, Linux-, macOS- en iOS-apparaten. Door dit beveiligingslek kan de authenticatie worden omzeild, wat mogelijk kan leiden tot het uitvoeren van code aan de kant van het slachtoffer. De exploit maakt gebruik van een bug in het koppelingsmechanisme in Bluetooth, waardoor het doelwit een verbinding met een Bluetooth-toetsenbord accepteert.
De Android-update van december loste 84 beveiligingsproblemen op, waarvan er vier (CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 en CVE-2023-45866) kritiek waren.
