Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties
Submitter: _David_

Google dicht met de maandelijkse patchronde voor Nexus-toestellen belangrijke fouten die het mogelijk maken om op afstand kwaadaardige code uit te voeren. Van de zeven patches, liggen vijf in het verlengde van de roemruchte Stagefright-bug.

Daarmee is het de vierde maandelijkse patch van Google voor zijn Nexus-apparaten. Het bedrijf beloofde beterschap in het uitrollen van patches na de eerste Stagefright-bug en zou maandelijks patches aanbieden. Van de zeven geplette bugs, zijn er twee 'critical', vier 'high' en een 'moderate'. De bugs hebben cve-codes CVE-2015-6608 tot en met -6615. Daarmee heeft libstagefright nu ook een cve-nummer: CVE-2015-6610. Dat libstagefright nog geen eigen cve-nummer had, verbaasde Zimperium, de ontdekker van de Stagefright-bug, in oktober bij de ontdekking van verschillende andere bugs.

De Nexus-apparaten die ergens in de komende dagen een ota moeten krijgen, zijn onder ander de Nexus 4, 5, 5X, 6, 6P, 7, 9 en 10. De hele lijst is op het Google-developerblog te vinden, samen met instructies om een apparaat te flashen.

Een van de belangrijkste problemen die gedicht is, is de 'kwetsbaarheid waarbij code op afstand uitgevoerd kan worden via methoden als e-mail, browsen en mms bij het openen van media-bestanden', schrijft Google op het Groups-forum.

google nexus update

Moderatie-faq Wijzig weergave

Reacties (53)

Benieuwd wanneer de andere fabrikanten hun zaakjes op orde hebben.
Voor sommige toestellen: nooit. (En dat is een heel groot probleem, en een policy die echt gewijzigd *moet* worden.)
Voor de meeste toestellen: hopelijk binnen een maand.

Meerdere fabrikanten hebben aangegeven op z'n minst de security patches gewoon direct 1 op 1 door te zetten, met enkel een periode om te testen; en eventueel hun eigen schil aan te passen indien dat nodig is of een patch problemen veroorzaakt.

Of dat ook echt gaat gebeuren is echter de vraag. :P
draai dat maar gerust om:

voor de meeste toestellen: nooit

voor sommige toestellen: hopelijk binnen een maand (maar waarschijnlijk veel langer)
Klopt helemaal, ben ik bang.

Wel was ik blij verrast toen ik vanochtend een update kreeg m.b.t. de update zoals besproken in het artikel. Moet wel toevoegen dat ik Cyanogenmod 12.1 draai op mijn LG G4.
Wat dat betreft ligt de macht echt bij Google. Als een fabrikant Play Services wil, mag best geëist worden dat de fabrikant 3 jaar security-issues moet patchen. En dat is nog niet eens een strenge eis volgens mij.

[Reactie gewijzigd door jvd-nl op 3 november 2015 19:09]

Allemaal toekomst muziek.

Grote probleem voor Google zit hem in al die mijoenen telefoons die nu met stagefright zitten en niet meer gefixt gaan / kunnen worden. IIG niet door Google zelf.
Gezien die bugfixes bar weinig code vereisen en die gewoon ook toe te passen zijn (met enkele aanpassingen hooguit) in Android 5.x hoef je er in ieder geval niet zolang mee te wachten als dat je een upgrade krijgt naar Android 6.

Ik ga er van uit dat toestellen die nu nog op Android 4 draaien sowieso geen updates meer krijgen. Misschien een enkele uitzondering, maar het merendeel niet.

[Reactie gewijzigd door watercoolertje op 3 november 2015 17:32]

Wel komisch als ik mij een soortgelijk update-ecosysteem zou moeten voorstellen met de diverse laptopfabrikanten:
Alleen Windows security updates groen licht geven zodra Lenovo, HP of Acer ze herverpakt en met eigen skin getest hebben, de uitrol op de lokale markten pas maanden nadat de de oorspronkelijke problemen aangekaart en upstream opgelost zijn.

Effectief zijn de meeste vendor- en providerspecifieke 'toevoegingen' aan Android de nieuwe OEM bloatware. Met als bonus dat ze alle kritieke securitypatches met maanden vertragen, of na tweejarige leeftijd van het toestel zelfs geheel uitsluiten.
Ik hoop dat Google een manier bedenkt om op zijn minst het voortouw te kunnen nemen en de security patches zelf direct uit te kunnen rollen over een groter aanbod aan toestellen dan slechts de Nexus-lijn waarvoor zij zich direct verantwoordelijk voelen.
Dit zal waarschijnlijk gepaard gaan met het inperken van de 'aanpasbaarheid' van Android voor de OEMs en telco's, dus van hen kant zal het weinig support rekenen binnen het Open Handset Alliance.

Eigenlijk wel een zwaktebod, dat de leden van de OHA zelf kennelijk security niet bovenaan plaatsen, en op deze manier verdere fragmentation van Android als platform in de hand werken.
Verder allerhande security-afhankelijke features als mobiel betalen willen introduceren, maar aan de andere kant gaping security holes maanden openlaten.
Ik weet niet wanneer ze die krijgen maar als dat op hetzelfde moment is dat Google het voor hun Nexus toestellen beschikbaar stelt lopen ze nog wel even achter.
Zaakjes op orde? Het is schandalig dat de update zo lang geduurd heeft, het probleem is al maanden bekend. Dit blijft toch echt het grootse probleem van android, 1000 modellen die allemaal een update moeten krijgen. Hedendaags zit ongeveer 3% op de nieuwste versie 8)7.
Deze update van Google is niet 'al maanden bekend'. Stagefright is begonnen bij een stuk of 6/7 problemen waar sindsdien op verder gebouwd is. Na de tweede patch, na de bekendmaking van Stagefright, waren alle originele CVE's gefixed. Dat er nieuwe problemen bij komen betekend niet dat dit al 'maanden' bekend was, enkel dat er steeds meer problemen bij komen en Google deze vooralsnog netjes patched tijdens de maandelijkse patch-ronde.
Het is ongelofelijk hoeveel mensen het geen moer kan schelen dat hun telefoon bugs bevat. Dit zullen veel gebruikers zijn die ook Windows XP nog gebruiken of zouden gebruiken als de pc het nog niet had begeven.
Bugs zijn irritant, maar een nieuwe versie van een nieuwe versie van een besturingssyteem kan weer andere bugs bevatten. Waar we het beide over eens zijn denk is dat beveiligingsupdates eigenlijk moeten binnenkomen ongeacht het merk en type toestel. Het zou bijvoorbeeld zo kunnen zijn. Toestellen van max 200 euro krijgen 1-1,5 jaar security updates. Toestellen tussen de 200 en 400 euro krijgen 3 jaar updates. En toestellen boven de 400 euro krijgen +-5 jaar updates. Zou veel duidelijkheid opleveren als je richtlijnen helder maakt aan consumenten. Bugfixes zijn wenselijk natuurlijk maar imo zijn beveiliginsupdates veel belangrijker. Hoewel als er een bug in je systeem zit kan dit in potentie ook een lek vormen.
Ik zie niet in waarom mensen die niet bereid zijn om een fortuin uit te geven aan een telefoon niet het recht zouden hebben op de beveiliging van hun telefoon. Iedereen gelijk voor de wet.
Ja opzich heb je gelijk, maar dat imo onrealistich. Of alle telefoons krijgen 3 jaar ofzo updates na lancering van het toestel. Dan is er duidelijkheid in ieder geval. Wat is jouw idee?
Dat maakt het natuurlijk moeilijk, want die bugfixes zijn mogelijkerwijse wel of niet versie-gebonden, dat houdt in dat je naar alle waarschijnlijkheid niet alleen de bugfixes (of eigenlijk security patches) moet kunnen aanbieden maar ook de nieuwere android versies... Dat brengt aanzienlijke kosten met zich mee, misschien zelfs zoveel dat het (china) budget segment van tot max 200 euro niet meer kan bestaan...
hoezo kan het veel mensen geen moer schelen dat hun telefoon bugs bevat? Moeten ze dan maar gewoon een nieuwe telefoon kopen omdat fabrikanten bepaalde modellen niet updaten?

Google moet Android eens op de schop gooien zodat dit soort patches gepushed kunnen worden door Google zelf, ongeacht het merk telefoon.
Eerlijkheidshalve dient er gezegd te worden dat waarschijnlijk 0,0001 procent van de gebruikers überhaupt weet wat stagefright is. En dat heeft zeker wel met interesse te maken. Pleit dat Android leveranciers vrij? Nee, maar als consumenten geen piep geven dan zal een Samsung zich ook niet genoodzaakt voelen om updates voor oudere toestellen te bakken. Daarnaast ken ik hele volksstammen die maandenlang dat update icoontje negeren (of Windows update negeren). Laten we eerlijk wezen, het moet eerst echt goed fout gaan voordat dit opgelost wordt. Overigens ben ik het wel met je eens.
Dat kun je volgens mij wel breder trekker: het is ongelofelijk hoeveel mensen überhaupt veel belangrijk dingen geen moer kan schelen. Dat zorgt er wel voor de die mensen meer energie voor andere dingen hebben (en dat is van alles, goed en kwaad). Het is een soort vertrouwen, van het komt wel goed. Je geeft het uit handen. Er impliciet op vertrouwend dat degenen die er fulltime mee bezig zijn, hun werk goed doen. Zoals defensie, politie, hardwarefabrikanten , softwareontwikkelaars, politiek, en nog bijna oneindig veel dingen die een individu niet allemaal geheel zelf kan regelen. Aan de geïnteresseerden en journalisten de schone taak om kritiek te uiten en aan concurrentie de taak om iets beter te doen. (daarom zijn klokkenluiders ook zo cruciaal - zij doen unieke dingen voor de maatschappij als er misbruik gemaakt wordt van het begrijpelijke menselijke vertrouwen).
Dus het geen moer kunnen schelen is meer een gevolg van de complexiteit van onze levens. Per persoon hebben we maar een paar dingen waar we ons echt druk over (kunnen) maken, wegens beperkte tijd en energie. Het is wel een kwestie van hoe intelligenter een persoon is, hoe meer hij/zij kan waarnemen waar het fout gaat. Maar zelfs de meest intelligente persoon zit al snel aan een limiet van zaken waar hij/zij mee bezig kan zijn. Dat is geen onwil, maar beperking en hopelijk doet een ander ook diens werk goed. Laat je dan ook niet door bijvoorbeeld een godsdienst vertellen wat goed en fout is (volgens hen) want daar wordt je niet bepaald slimmer van. Wel makkelijker (te manipuleren, door hen).
Netjes dat er nu maandelijks updates worden geleverd via OTA. Wel kan ik tijdens zo'n udpate ruim een uur lang mijn telefoon niet gebruiken omdat hij al mijn appjes na de update weer gaat optimaliseren ... anderen hier ook last van ?
(Ook is de bug waarbij met het opzetten van een telefoongesprek geen spraakkanaal wordt opgebouwd nog steeds niet geplet (Nexus 4). Ik kan de ander niet horen, en de ander mij niet, terwijl er wel een gesprek is. Alleen een herstart verhelpt het issue.
Nee, in ca. 10 min gedaan (Moto G 2nd Gen 2014).
Dat is echt rap! Hadden het laatst nog op een OnePlus met 150 applicaties (blijkbaar, Google zal wel de interne apps en services meetellen) maar dan is zo'n ding al gauw 20 minuten het stampen.
(Ook is de bug waarbij met het opzetten van een telefoongesprek geen spraakkanaal wordt opgebouwd nog steeds niet geplet (Nexus 4). Ik kan de ander niet horen, en de ander mij niet, terwijl er wel een gesprek is. Alleen een herstart verhelpt het issue.
Daar zijn die maandelijkse updates ook helemaal niet voor, het gaat echt om beveiligingsupdates. Neemt niet weg dat het vervelend is natuurlijk, maar je hoeft dat helaas niet in de maandelijkse updateronde te verwachten!
Bij mij duurt dat een 10 min.
Nexus 6
Vorig jaar kocht ik de Samsung Galaxy S5 (Plus). Daar heb ik nu best wel spijt van: 520 euro betaald voor een high-end toestel dat met maanden vertraging geüpdated wordt, boordevol junk apps die geen kat gebruikt en enkel te verwijderen zijn door te rooten (waarbij je garantie vervalt).

De Nexus-lijn is plots wel een heel aantrekkelijk alternatief geworden me dunkt.

Op termijn moet er toch iets komen als een uniforme Android voor alle fabrikanten waarop ze nog iets custom kunnen bouwen, maar beperkt. Zodat het op zijn minst mogelijk is ernstige beveilingsfouten als deze voor alle merken meteen te patchen.

[Reactie gewijzigd door TheBlackbird op 3 november 2015 17:59]

Google had toch Play-Edition toestellen die door hunzelf onderhouden werden? Laat dat dan een groot succes worden en laat fabrikanten er zo achter komen dat support op toestellen wel belangrijk is. Een Play Edition S5+ is gewoon een prachtig toestel met goede support, maar helaas biedt Google dat hier niet aan voor zover ik weet.

Daarom houd ik het bij Nexus-toestellen. Na een jaar of 2-3 tevreden een Galaxy Nexus te hebben gebruikt, heb ik nu een Nexus 5 en die voldoet nog prima (snel zat).
Je garantie vervalt helemaal niet bij rooten. Dat is een bekend fabeltje meer niet. In het ergste geval moet je Samsung of de winkel even op de wettelijke regels wijzen.

Bloatware was zeler niet bekend toen je hem kocht ;) Anders is het een beetje flauw om daar nu over te klagen...
# that akward moment when my chinaphone gets stagefright patches faster than a nexus.
# that akward moment when my chinaphone gets stagefright patches faster than a nexus.
Mijn N5 en N7 passeren al lang de stagefright-tests die in de Zimperium-app worden toegepast.
Dit zijn nieuwe patches. Ik zeg niet dat het onmogelijk is, maar het zal me verbazen mochten deze reeds in jouw toestel zitten.
well alle test van de zimperium app zijn negatief (dus niet vulnerable), ik weet niet of er buiten die vulnerabilities nog anderen zijn maar ik dacht dat ze daar allemaal in zaten
well alle test van de zimperium app zijn negatief (dus niet vulnerable),
Dat is op mijn toestellen al lang zo, ook op dit ogenblik (ik heb de patches patches uit dit nieuwsbericht nog niet ontvangen).

Ik zie dus niet op welke basis jij stelt dat je sneller gepatcht bent tegen stagefright...
Mooi van de Nexus 4! Verwachtte eigenlijk dat die buiten de boot zou vallen (net als met de volgende grote OS update 6.0). Nu wordt het toch een stuk prettiger nog 1-2 jaartjes ermee door te gaan.
Die valt qua Android updates vanaf 5.1.1 buiten de boot, echter krijgt de Nexus 4 wel nog voorlopig security patches.
De N4 krijgt enkel security. Geen nieuwe versie M
Tot nu toe zijn alleen de 6.0.0 versies beschikbaar, de 5.1.1 is nog de oudere release van vorige maand.
Samsung laat het groots afweten, de note 8, toestel van 2,5 jaar oud, werkt nog steeds op Android 4.4 8)7
En dat is toch de reden waarom ik een nexus 5X gepreordered heb.
Hoe knap de specs van de 'concurrerende' android-toestellen zijn,
vaak lopen ze hopeloos achter of duurt het maanden langer vooraleer je toestel zo'n updates krijgt.

Als je dan ziet dat de Nexus 4 nog gewoon zijn security patches krijgt blijft het Nexus-argument
ongeacht de prijs heel sterk.
CyanogenMod/OS lijkt deze patches ook al te hebben doorgevoerd! De OPO heeft vandaag een OTA update ontvangen ten behoeve van security fixes.

Cyanogen is, mijns inziens, erg goed bezig met het dichten van security issues zoals deze.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True