Google brengt beveiligingspatches voor Nexus-toestellen uit

Google dicht met de maandelijkse patchronde voor Nexus-toestellen belangrijke fouten die het mogelijk maken om op afstand kwaadaardige code uit te voeren. Van de zeven patches, liggen vijf in het verlengde van de roemruchte Stagefright-bug.

Daarmee is het de vierde maandelijkse patch van Google voor zijn Nexus-apparaten. Het bedrijf beloofde beterschap in het uitrollen van patches na de eerste Stagefright-bug en zou maandelijks patches aanbieden. Van de zeven geplette bugs, zijn er twee 'critical', vier 'high' en een 'moderate'. De bugs hebben cve-codes CVE-2015-6608 tot en met -6615. Daarmee heeft libstagefright nu ook een cve-nummer: CVE-2015-6610. Dat libstagefright nog geen eigen cve-nummer had, verbaasde Zimperium, de ontdekker van de Stagefright-bug, in oktober bij de ontdekking van verschillende andere bugs.

De Nexus-apparaten die ergens in de komende dagen een ota moeten krijgen, zijn onder ander de Nexus 4, 5, 5X, 6, 6P, 7, 9 en 10. De hele lijst is op het Google-developerblog te vinden, samen met instructies om een apparaat te flashen.

Een van de belangrijkste problemen die gedicht is, is de 'kwetsbaarheid waarbij code op afstand uitgevoerd kan worden via methoden als e-mail, browsen en mms bij het openen van media-bestanden', schrijft Google op het Groups-forum.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 03-11-2015 17:07
53 • submitter: _David_

03-11-2015 • 17:07

53 Linkedin

Submitter: _David_

Lees meer

App AirDroid fikst zeven maanden geleden erkend beveiligingsprobleem - update Nieuws van 2 december 2016
Google gaat meer geld uitdelen voor het melden van bugs in Android Nieuws van 18 juni 2016
Google maakt ota-bestanden eenvoudig toegankelijk Nieuws van 11 mei 2016
NorthBit geeft broncode Stagefright Metaphor-exploit voor Android vrij Nieuws van 28 maart 2016
Google publiceert tussentijdse kernel-patch voor kritiek lek in Android Nieuws van 19 maart 2016
Google: lek in Linux-kernel betreft geen 66 procent van Android-toestellen Nieuws van 21 januari 2016
Samsung meldt Stagefright- en andere beveiligingsinfo bij mobiele apparaten Nieuws van 24 december 2015
Google brengt patches voor 'Stagefright 2.0-lekken' uit Nieuws van 6 oktober 2015
Beveiligingsbedrijf maakt bestaan twee bugs in Android bekend Nieuws van 1 oktober 2015
Universiteit van Texas ontdekt kwetsbaarheid in lockscreen Android Lollipop Nieuws van 15 september 2015
Beveiligingsbedrijf: Android-patch beschermt niet tegen Stagefright-bug Nieuws van 13 augustus 2015
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer Google Nexus Nexus Android

Reacties (53)

-Moderatie-faq
53
53
39
0
0
0
Wijzig sortering
anessie
3 november 2015 17:12
Benieuwd wanneer de andere fabrikanten hun zaakjes op orde hebben.
WhatsappHack
@anessie3 november 2015 17:18
Voor sommige toestellen: nooit. (En dat is een heel groot probleem, en een policy die echt gewijzigd *moet* worden.)
Voor de meeste toestellen: hopelijk binnen een maand.

Meerdere fabrikanten hebben aangegeven op z'n minst de security patches gewoon direct 1 op 1 door te zetten, met enkel een periode om te testen; en eventueel hun eigen schil aan te passen indien dat nodig is of een patch problemen veroorzaakt.

Of dat ook echt gaat gebeuren is echter de vraag. :P
nietorigineel
@WhatsappHack3 november 2015 17:30
draai dat maar gerust om:

voor de meeste toestellen: nooit

voor sommige toestellen: hopelijk binnen een maand (maar waarschijnlijk veel langer)
Anoniem: 300525
@nietorigineel4 november 2015 11:10
Klopt helemaal, ben ik bang.

Wel was ik blij verrast toen ik vanochtend een update kreeg m.b.t. de update zoals besproken in het artikel. Moet wel toevoegen dat ik Cyanogenmod 12.1 draai op mijn LG G4.
jvd-nl
@WhatsappHack3 november 2015 19:08
Wat dat betreft ligt de macht echt bij Google. Als een fabrikant Play Services wil, mag best geëist worden dat de fabrikant 3 jaar security-issues moet patchen. En dat is nog niet eens een strenge eis volgens mij.

[Reactie gewijzigd door jvd-nl op 3 november 2015 19:09]

harry89
@jvd-nl3 november 2015 21:56
Allemaal toekomst muziek.

Grote probleem voor Google zit hem in al die mijoenen telefoons die nu met stagefright zitten en niet meer gefixt gaan / kunnen worden. IIG niet door Google zelf.
watercoolertje
@anessie3 november 2015 17:25
Gezien die bugfixes bar weinig code vereisen en die gewoon ook toe te passen zijn (met enkele aanpassingen hooguit) in Android 5.x hoef je er in ieder geval niet zolang mee te wachten als dat je een upgrade krijgt naar Android 6.

Ik ga er van uit dat toestellen die nu nog op Android 4 draaien sowieso geen updates meer krijgen. Misschien een enkele uitzondering, maar het merendeel niet.

[Reactie gewijzigd door watercoolertje op 3 november 2015 17:32]

hanwrath
@watercoolertje3 november 2015 18:12
Wel komisch als ik mij een soortgelijk update-ecosysteem zou moeten voorstellen met de diverse laptopfabrikanten:
Alleen Windows security updates groen licht geven zodra Lenovo, HP of Acer ze herverpakt en met eigen skin getest hebben, de uitrol op de lokale markten pas maanden nadat de de oorspronkelijke problemen aangekaart en upstream opgelost zijn.

Effectief zijn de meeste vendor- en providerspecifieke 'toevoegingen' aan Android de nieuwe OEM bloatware. Met als bonus dat ze alle kritieke securitypatches met maanden vertragen, of na tweejarige leeftijd van het toestel zelfs geheel uitsluiten.
Ik hoop dat Google een manier bedenkt om op zijn minst het voortouw te kunnen nemen en de security patches zelf direct uit te kunnen rollen over een groter aanbod aan toestellen dan slechts de Nexus-lijn waarvoor zij zich direct verantwoordelijk voelen.
Dit zal waarschijnlijk gepaard gaan met het inperken van de 'aanpasbaarheid' van Android voor de OEMs en telco's, dus van hen kant zal het weinig support rekenen binnen het Open Handset Alliance.

Eigenlijk wel een zwaktebod, dat de leden van de OHA zelf kennelijk security niet bovenaan plaatsen, en op deze manier verdere fragmentation van Android als platform in de hand werken.
Verder allerhande security-afhankelijke features als mobiel betalen willen introduceren, maar aan de andere kant gaping security holes maanden openlaten.
Anoniem: 382732
@anessie3 november 2015 17:15
Ik weet niet wanneer ze die krijgen maar als dat op hetzelfde moment is dat Google het voor hun Nexus toestellen beschikbaar stelt lopen ze nog wel even achter.
Tothabone
@anessie3 november 2015 19:06
Zaakjes op orde? Het is schandalig dat de update zo lang geduurd heeft, het probleem is al maanden bekend. Dit blijft toch echt het grootse probleem van android, 1000 modellen die allemaal een update moeten krijgen. Hedendaags zit ongeveer 3% op de nieuwste versie 8)7.
Pimorez
@Tothabone3 november 2015 20:36
Deze update van Google is niet 'al maanden bekend'. Stagefright is begonnen bij een stuk of 6/7 problemen waar sindsdien op verder gebouwd is. Na de tweede patch, na de bekendmaking van Stagefright, waren alle originele CVE's gefixed. Dat er nieuwe problemen bij komen betekend niet dat dit al 'maanden' bekend was, enkel dat er steeds meer problemen bij komen en Google deze vooralsnog netjes patched tijdens de maandelijkse patch-ronde.
marky-mark
3 november 2015 17:45
Het is ongelofelijk hoeveel mensen het geen moer kan schelen dat hun telefoon bugs bevat. Dit zullen veel gebruikers zijn die ook Windows XP nog gebruiken of zouden gebruiken als de pc het nog niet had begeven.
dennis_rsb
@marky-mark3 november 2015 20:39
Bugs zijn irritant, maar een nieuwe versie van een nieuwe versie van een besturingssyteem kan weer andere bugs bevatten. Waar we het beide over eens zijn denk is dat beveiligingsupdates eigenlijk moeten binnenkomen ongeacht het merk en type toestel. Het zou bijvoorbeeld zo kunnen zijn. Toestellen van max 200 euro krijgen 1-1,5 jaar security updates. Toestellen tussen de 200 en 400 euro krijgen 3 jaar updates. En toestellen boven de 400 euro krijgen +-5 jaar updates. Zou veel duidelijkheid opleveren als je richtlijnen helder maakt aan consumenten. Bugfixes zijn wenselijk natuurlijk maar imo zijn beveiliginsupdates veel belangrijker. Hoewel als er een bug in je systeem zit kan dit in potentie ook een lek vormen.
Sevenanths
@dennis_rsb4 november 2015 16:26
Ik zie niet in waarom mensen die niet bereid zijn om een fortuin uit te geven aan een telefoon niet het recht zouden hebben op de beveiliging van hun telefoon. Iedereen gelijk voor de wet.
dennis_rsb
@Sevenanths4 november 2015 17:49
Ja opzich heb je gelijk, maar dat imo onrealistich. Of alle telefoons krijgen 3 jaar ofzo updates na lancering van het toestel. Dan is er duidelijkheid in ieder geval. Wat is jouw idee?
TIGER79
@dennis_rsb4 november 2015 08:12
Dat maakt het natuurlijk moeilijk, want die bugfixes zijn mogelijkerwijse wel of niet versie-gebonden, dat houdt in dat je naar alle waarschijnlijkheid niet alleen de bugfixes (of eigenlijk security patches) moet kunnen aanbieden maar ook de nieuwere android versies... Dat brengt aanzienlijke kosten met zich mee, misschien zelfs zoveel dat het (china) budget segment van tot max 200 euro niet meer kan bestaan...
Yucko
@marky-mark3 november 2015 17:49
hoezo kan het veel mensen geen moer schelen dat hun telefoon bugs bevat? Moeten ze dan maar gewoon een nieuwe telefoon kopen omdat fabrikanten bepaalde modellen niet updaten?

Google moet Android eens op de schop gooien zodat dit soort patches gepushed kunnen worden door Google zelf, ongeacht het merk telefoon.
oef!
@Yucko3 november 2015 19:27
Eerlijkheidshalve dient er gezegd te worden dat waarschijnlijk 0,0001 procent van de gebruikers überhaupt weet wat stagefright is. En dat heeft zeker wel met interesse te maken. Pleit dat Android leveranciers vrij? Nee, maar als consumenten geen piep geven dan zal een Samsung zich ook niet genoodzaakt voelen om updates voor oudere toestellen te bakken. Daarnaast ken ik hele volksstammen die maandenlang dat update icoontje negeren (of Windows update negeren). Laten we eerlijk wezen, het moet eerst echt goed fout gaan voordat dit opgelost wordt. Overigens ben ik het wel met je eens.
Anoniem: 387522
@marky-mark4 november 2015 09:24
Dat kun je volgens mij wel breder trekker: het is ongelofelijk hoeveel mensen überhaupt veel belangrijk dingen geen moer kan schelen. Dat zorgt er wel voor de die mensen meer energie voor andere dingen hebben (en dat is van alles, goed en kwaad). Het is een soort vertrouwen, van het komt wel goed. Je geeft het uit handen. Er impliciet op vertrouwend dat degenen die er fulltime mee bezig zijn, hun werk goed doen. Zoals defensie, politie, hardwarefabrikanten , softwareontwikkelaars, politiek, en nog bijna oneindig veel dingen die een individu niet allemaal geheel zelf kan regelen. Aan de geïnteresseerden en journalisten de schone taak om kritiek te uiten en aan concurrentie de taak om iets beter te doen. (daarom zijn klokkenluiders ook zo cruciaal - zij doen unieke dingen voor de maatschappij als er misbruik gemaakt wordt van het begrijpelijke menselijke vertrouwen).
Dus het geen moer kunnen schelen is meer een gevolg van de complexiteit van onze levens. Per persoon hebben we maar een paar dingen waar we ons echt druk over (kunnen) maken, wegens beperkte tijd en energie. Het is wel een kwestie van hoe intelligenter een persoon is, hoe meer hij/zij kan waarnemen waar het fout gaat. Maar zelfs de meest intelligente persoon zit al snel aan een limiet van zaken waar hij/zij mee bezig kan zijn. Dat is geen onwil, maar beperking en hopelijk doet een ander ook diens werk goed. Laat je dan ook niet door bijvoorbeeld een godsdienst vertellen wat goed en fout is (volgens hen) want daar wordt je niet bepaald slimmer van. Wel makkelijker (te manipuleren, door hen).
beuki
3 november 2015 17:18
Netjes dat er nu maandelijks updates worden geleverd via OTA. Wel kan ik tijdens zo'n udpate ruim een uur lang mijn telefoon niet gebruiken omdat hij al mijn appjes na de update weer gaat optimaliseren ... anderen hier ook last van ?
(Ook is de bug waarbij met het opzetten van een telefoongesprek geen spraakkanaal wordt opgebouwd nog steeds niet geplet (Nexus 4). Ik kan de ander niet horen, en de ander mij niet, terwijl er wel een gesprek is. Alleen een herstart verhelpt het issue.
Anoniem: 399865
@beuki3 november 2015 17:49
Nee, in ca. 10 min gedaan (Moto G 2nd Gen 2014).
oef!
@Anoniem: 3998653 november 2015 19:17
Dat is echt rap! Hadden het laatst nog op een OnePlus met 150 applicaties (blijkbaar, Google zal wel de interne apps en services meetellen) maar dan is zo'n ding al gauw 20 minuten het stampen.
watercoolertje
@beuki3 november 2015 17:20
(Ook is de bug waarbij met het opzetten van een telefoongesprek geen spraakkanaal wordt opgebouwd nog steeds niet geplet (Nexus 4). Ik kan de ander niet horen, en de ander mij niet, terwijl er wel een gesprek is. Alleen een herstart verhelpt het issue.
Daar zijn die maandelijkse updates ook helemaal niet voor, het gaat echt om beveiligingsupdates. Neemt niet weg dat het vervelend is natuurlijk, maar je hoeft dat helaas niet in de maandelijkse updateronde te verwachten!
Tr1pke
@beuki3 november 2015 19:31
Bij mij duurt dat een 10 min.
Nexus 6
TheBlackbird
3 november 2015 17:56
Vorig jaar kocht ik de Samsung Galaxy S5 (Plus). Daar heb ik nu best wel spijt van: 520 euro betaald voor een high-end toestel dat met maanden vertraging geüpdated wordt, boordevol junk apps die geen kat gebruikt en enkel te verwijderen zijn door te rooten (waarbij je garantie vervalt).

De Nexus-lijn is plots wel een heel aantrekkelijk alternatief geworden me dunkt.

Op termijn moet er toch iets komen als een uniforme Android voor alle fabrikanten waarop ze nog iets custom kunnen bouwen, maar beperkt. Zodat het op zijn minst mogelijk is ernstige beveilingsfouten als deze voor alle merken meteen te patchen.

[Reactie gewijzigd door TheBlackbird op 3 november 2015 17:59]

Grrrrrene
@TheBlackbird3 november 2015 21:24
Google had toch Play-Edition toestellen die door hunzelf onderhouden werden? Laat dat dan een groot succes worden en laat fabrikanten er zo achter komen dat support op toestellen wel belangrijk is. Een Play Edition S5+ is gewoon een prachtig toestel met goede support, maar helaas biedt Google dat hier niet aan voor zover ik weet.

Daarom houd ik het bij Nexus-toestellen. Na een jaar of 2-3 tevreden een Galaxy Nexus te hebben gebruikt, heb ik nu een Nexus 5 en die voldoet nog prima (snel zat).
watercoolertje
@TheBlackbird4 november 2015 07:12
Je garantie vervalt helemaal niet bij rooten. Dat is een bekend fabeltje meer niet. In het ergste geval moet je Samsung of de winkel even op de wettelijke regels wijzen.

Bloatware was zeler niet bekend toen je hem kocht ;) Anders is het een beetje flauw om daar nu over te klagen...
jeroen7s
3 november 2015 20:21
# that akward moment when my chinaphone gets stagefright patches faster than a nexus.
MatthiasDS
@jeroen7s4 november 2015 12:38
# that akward moment when my chinaphone gets stagefright patches faster than a nexus.
Mijn N5 en N7 passeren al lang de stagefright-tests die in de Zimperium-app worden toegepast.
Dit zijn nieuwe patches. Ik zeg niet dat het onmogelijk is, maar het zal me verbazen mochten deze reeds in jouw toestel zitten.
jeroen7s
@MatthiasDS4 november 2015 18:58
well alle test van de zimperium app zijn negatief (dus niet vulnerable), ik weet niet of er buiten die vulnerabilities nog anderen zijn maar ik dacht dat ze daar allemaal in zaten
MatthiasDS
@jeroen7s4 november 2015 23:10
well alle test van de zimperium app zijn negatief (dus niet vulnerable),
Dat is op mijn toestellen al lang zo, ook op dit ogenblik (ik heb de patches patches uit dit nieuwsbericht nog niet ontvangen).

Ik zie dus niet op welke basis jij stelt dat je sneller gepatcht bent tegen stagefright...
Xanaroth
3 november 2015 17:16
Mooi van de Nexus 4! Verwachtte eigenlijk dat die buiten de boot zou vallen (net als met de volgende grote OS update 6.0). Nu wordt het toch een stuk prettiger nog 1-2 jaartjes ermee door te gaan.
Mizgala28
@Xanaroth3 november 2015 17:44
Die valt qua Android updates vanaf 5.1.1 buiten de boot, echter krijgt de Nexus 4 wel nog voorlopig security patches.
watercoolertje
@Mizgala284 november 2015 07:03
Dat is precies wat hij al zegt :)
Tr1pke
@Xanaroth3 november 2015 19:32
De N4 krijgt enkel security. Geen nieuwe versie M
MegaTronics
3 november 2015 17:19
Tot nu toe zijn alleen de 6.0.0 versies beschikbaar, de 5.1.1 is nog de oudere release van vorige maand.
eiateunissen
3 november 2015 17:25
Samsung laat het groots afweten, de note 8, toestel van 2,5 jaar oud, werkt nog steeds op Android 4.4 8)7
SolarGlider
3 november 2015 17:52
En dat is toch de reden waarom ik een nexus 5X gepreordered heb.
Hoe knap de specs van de 'concurrerende' android-toestellen zijn,
vaak lopen ze hopeloos achter of duurt het maanden langer vooraleer je toestel zo'n updates krijgt.

Als je dan ziet dat de Nexus 4 nog gewoon zijn security patches krijgt blijft het Nexus-argument
ongeacht de prijs heel sterk.
Pimorez
3 november 2015 18:29
CyanogenMod/OS lijkt deze patches ook al te hebben doorgevoerd! De OPO heeft vandaag een OTA update ontvangen ten behoeve van security fixes.

Cyanogen is, mijns inziens, erg goed bezig met het dichten van security issues zoals deze.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee