Nieuws

Ernstige WebP-kwetsbaarheid in Android opgelost

WebP kwetsbaarheid Android
© Unsplash / Mika Baumeister
Google heeft een ernstige WebP-kwetsbaarheid in Android opgelost. Wel rollen de benodigde patches pas vanaf begin oktober uit naar gebruikers.

Nieuws over de kwetsbaarheid (CVE-2023-4863) dook verleden week op. Een bug in de WebP-codec voor afbeeldingen op het internet zou het protocol vatbaar maken voor ‘heap buffer overflows’. Dat houdt in dat er meer data naar de buffer wordt geschreven dan in theorie mogelijk is. Hiervoor moet ook naburige data worden overschreven, wat leidt tot corrupte bestanden. Zo’n buffer overflow maakt het bovendien mogelijk om systemen vanop afstand over te nemen.

Voor Google en zijn hardwarepartners was het oplossen van de kwetsbaarheid dan ook meteen een prioriteit. Met resultaat: Android-expert Mishaal Rahman meldt op X (voorheen Twitter) dat de bugs in Android zijn opgelost. Meer specifiek zijn de oplossingen beschikbaar met de beveiligingspatches van oktober 2023. Opvallend is dat de zoekgigant hiervoor ook een nieuw patchniveau uitbrengt: 6-10: met dat patchniveau worden alle bugoplossingen gebundeld.

Het eerste patchniveau van oktober (1-10) bevat enkel bugoplossingen voor AOSP-componenten. In het tweede patchniveau (5-10) voegt Google-patches toe aan de Linux-kernel én worden oplossingen van hardwarepartners toegepast; dit houdt in dat chipfabrikanten als MediaTek en Qualcomm de firmware voor hun chipsets hebben gepatcht.

Browse zonder problemen

Dat een protocol als WebP met zo’n ernstige kwetsbaarheid kampt, doet meteen de alarmbellen afgaan. Vrijwel alle websites maken tegenwoordig gebruik van WebP, maar ook Android-apps maken reeds gebruik van het digitale afbeeldingprotocol.

Mits je de laatste versie van je webbrowser op Android gebruikt, kan je gelukkig zorgeloos over het web navigeren. Browsers als Brave, Chrome, Edge, Firefox en Tor hebben reeds updates uitgebracht om de kwetsbaarheid op te lossen. Wil je er zeker van zijn dat je veilig kan browsen? Open dan zeker en vast de Google Play Store om de laatste update van je browser te installeren.

Uitgelicht artikel Vind Mijn Apparaat Google dringt aan op snellere Android-updates

Google’s patch voor Android is met name bedoeld om aanvallen uit andere apps tegen te houden; apps die nog geen patch ontvingen tegen de heap buffer overflow-bug.

Uitrol beveiligingspatches

Wanneer je telefoon de benodigde beveiligingspatch ontvangt? Dat is afhankelijk van de fabrikant van jouw Android-smartphone. Veel middenklassesmartphones moeten mogelijk enkele maanden wachten op de nieuwe patches, terwijl high-end telefoons van Google en Samsung meteen van de patches genieten. Je kan de patches alvast herkennen aan de patchniveaus: 1-10, 5-10 én 6-10.

AndroidBeveiligingmobiel

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken