2min Security

Google lost Android-bug op die hackers zonder privileges misbruiken

Google lost Android-bug op die hackers zonder privileges misbruiken

In de recente security-update voor Android heeft Google een zeer kritieke kwetsbaarheid gepatcht die zogenoemde zeroclick remote code execution (RCE) mogelijk maakt. Daarnaast werden nog eens 84 andere kwetsbaarheden aangepakt.

Volgens de techgigant had de kritieke kwetsbaarheid CVE-2023-40088 de meeste aandacht nodig in zijn Android security update voor december 2023. Deze zogenoemde zeroday RCE bug maakt in de System-component van Android een ‘remote (proximal/adjacent)’ uitvoering van code mogelijk, zonder dat hierbij uitvoeringsprivileges of acties van gebruikers nodig zijn.

Uiteindelijk zou dit grote invloed hebben op een getroffen device. De techgigant ziet dat vooral als een risico wanneer platform- en dienstenbeschermingsfunctionaliteit uitstaan voor ontwikkelingsdoeleinden of kunnen worden omzeild.

Nog 84 kwetsbaarheden

Naast deze kritieke kwetsbaarheid heeft Google in de Android security-update van deze maand nog eens 84 andere kwetsbaarheden en problemen opgelost. Vier hiervan, CVE-2023-40077, CVE-2023-40076, CVE-2023-45866 en CVE-2022-40507, worden ook als kritiek aangemerkt.

Deze kritieke kwetsbaarheden betreffen onder meer zware privilege-escalatiefouten en bugs die informatie weggeven in de Android Framework- en System-componenten. De laatste kwetsbaarheid betreft de closed-source componenten van Qualcomm.

Twee type patches

Google heeft voor de December 2023-update twee patches uitgebracht: 2023-12-01 en 2023-12-02. De laatste set omvat alle fixes uit de eerste set en voegt daar nog patches voor third-party closed-source- en Kernel-componenten voor Android aan toe. Deze laatste updates hebben niet alle Android-devices nodig.

Lees ook: Google geeft Android en Android 14 nieuwe ‘look & feel’