Follow

Android - this is bad!
CVE-2019-1986, CVE-2019-1987 und CVE-2019-1988.

Vorsicht beim Öffnen von PNG-Bildern, bis ihr nicht das Security-Update von Februar 2019 eingespielt habt.

bsi.bund.de/SharedDocs/Warnmel

@kuketzblog Google dazu: "The most severe of these issues is a critical security vulnerability in Framework that could allow a remote attacker using a specially crafted PNG file to execute arbitrary code within the context of a privileged process."

www.bsi.bund.de/SharedDocs/War…

"Software:
Google Android 7.0, Google Android 7.1.1, Google Android 7.1.2, Google Android 8.0, Google Android 8.1, Google Android 9"

@nyansen Du hast jetzt das kopiert, was unter dem Link steht. Du hast jetzt ohne Erklärung den Text aus dem Dokument kopiert. Ich bin Laie und kann nur Vermutungen anstellen, was du mir jetzt damit sagen willst 😉

Deine Frage war, ob das auch ältere Versionen betrifft.
Android 9 ist die aktuelle Version und laut Dokument betrifft das die oben genannten Versionen und damit eben auch ältere

@nyansen also umgedreht kann man davon ausgehen, das noch ältere Versionen (älter als 7) davon nicht betroffen sind und man da bedenkenlos png-files öffnen kann

@ssplitt
Updates gehen bis Android 7 zurück... Ob das Gerät dies aber auch bekommt, liegt am Maintainer / Hersteller.
LineageOS Nutzer bekommen es
@kuketzblog

Welcher Android Hersteller (Außer Google selber) verteilt dann regelmäßig und Zeitnah Security-Updates?

@nyansen @kuketzblog motorola/lenovo auf jeden Fall nicht (mehr). Letzter Stand 1.4.2018 :(

@Nidhogg @nyansen @kuketzblog
Man könnte das Problem vielleicht umgehen wenn man eine Galerie mit eigenem Rendering installiert. Die einzige die ich damit fand ist die Simple Gallery. Ob deren lib auch für png zuständig ist kann ich auch nicht beurteilen. Aber schaden tut es nicht die zu installieren.
f-droid.org/de/packages/com.si

@rudolf
"Schaden tut es nicht". Im Grunde schon!
Mehr Apps = mehr Code = mehr potenzielle Lücken

Und gerade bei Drittanbieter für solche "Library Lösungen" ist eine fortlaufende und aktive Entwicklung notwendig. Bietet das der Hersteller dieser App?
@nyansen @kuketzblog

@Nidhogg @nyansen @kuketzblog
Nun ist aber eine Lücke im Android bekannt. Du lässt also dein Auto lieber stehen wenn es platt ist weil dein Reserverad auch platt werden könnte???

@Nidhogg @nyansen @kuketzblog
Könntest du bitte versuchen dich zivilisiert auszudrücken.

@nyansen @kuketzblog
Mein Nokia 8 bekommt seit ich es habe ca. in der 3. KW jeden Monats das aktuelle Security Update. EInzige Ausnahme war der letzte Januar, da kam es erst in der letzten Woche
Nokia nervt dafür mit zu gut gemeinten Energiespareinstellungen dontkillmyapp.com/nokia 😐
LinangeOS finde ich jetzt übrigens auch nicht so toll. Entweder man akzeptiert Nightly Builds oder muss mit uralten Stable Versionen leben.

@sinden2333 @nyansen @kuketzblog
Auch für mein Nokia 3 (Juli 2017 gekauft) erfolgten bisher in der 3./4. Woche eines Monats die Security-Updates.

@kuketzblog Hallo, ist bekannt, ob das neue Sicherheitsupdate schon veröffentlicht wurde? Vielen Dank vorab für ein kurzes Feedback.

@kuketzblog Bei google steht ja auch nicht immer viel. Reicht schon eine Webview-Aktualisierung? Wär cool, wenn das irgend eine news-seite auch mal schreiben würde ^^

Sign in to participate in the conversation
Mastodon

One of the first Mastodon instances, there is no specific topic we're into, just enjoy your time!