NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Google Android en Samsung
                  Mobile
Advisory ID     : NCSC-2023-0273
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2021-0701, CVE-2021-0945, CVE-2022-22060,
                  CVE-2022-22706, CVE-2022-28349, CVE-2022-33251,
                  CVE-2022-33257, CVE-2022-33264, CVE-2022-33292,
                  CVE-2022-40516, CVE-2022-40517, CVE-2022-40520,
                  CVE-2022-40521, CVE-2022-40523, CVE-2022-40529,
                  CVE-2022-40533, CVE-2022-40536, CVE-2022-40538,
                  CVE-2022-46781, CVE-2022-48390, CVE-2022-48391,
                  CVE-2022-48392, CVE-2022-48438, CVE-2023-21095,
                  CVE-2023-21101, CVE-2023-21105, CVE-2023-21108,
                  CVE-2023-21115, CVE-2023-21120, CVE-2023-21121,
                  CVE-2023-21122, CVE-2023-21123, CVE-2023-21124,
                  CVE-2023-21126, CVE-2023-21127, CVE-2023-21128,
                  CVE-2023-21129, CVE-2023-21130, CVE-2023-21131,
                  CVE-2023-21135, CVE-2023-21136, CVE-2023-21137,
                  CVE-2023-21138, CVE-2023-21139, CVE-2023-21141,
                  CVE-2023-21142, CVE-2023-21143, CVE-2023-21144,
                  CVE-2023-21628, CVE-2023-21656, CVE-2023-21657,
                  CVE-2023-21658, CVE-2023-21659, CVE-2023-21661,
                  CVE-2023-21669, CVE-2023-21670
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  (Remote) code execution (Administrator/Root rechten)
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20230606
Toepassing      : Samsung Mobile
Versie(s)       :
Platform(s)     : Google Android Operating System

Beschrijving
   Google heeft kwetsbaarheden verholpen in Android. Tevens zijn
   kwetsbaarheden verholpen in closed-source onderdelen van Android die
   door derden worden ontwikkeld, zoals Qualcomm, Arm, Imagination
   Technologies, Unisoc en Widevine.
   De kwetsbaarheden stellen een kwaadwillende mogelijk in staat
   aanvallen uit te voeren die leiden tot de volgende categorieën
   schade:

   * Denial-of-Service (DoS)
   * (Remote) code execution (Administrator/Root rechten)
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot gevoelige gegevens
   * Verhoogde gebruikersrechten

   De ernstigste kwetsbaarheden hebben kenmerk CVE-2023-21108 en
   CVE-2023-21130 gekregen. Deze kwetsbaarheden bevinden zich in
   Bluetooth en, wanneer een profiel met Hands Free Support actief is,
   stellen deze kwetsbaarheden een kwaadwillende in staat om
   willekeurige code uit te voeren op het kwetsbare systeem. De
   kwaadwillende moet hiervoor wel fysiek binnen bereik van Bluetooth
   ontvangst zijn.

   Google heeft verder weinig inhoudelijke details publiek beschikbaar
   gesteld over de kwetsbaarheden.

   Samsung heeft de beveiligingsupdates van Google verwerkt in de eigen
   maandelijkse patchronde voor Samsung Mobile. Aanvullend verhelpt
   Samsung daarin ook 11 kwetsbaarheden die specifiek voor Samsung
   devices zijn. Van deze 11 kwetsbaarheden is voor slechts 3
   kwetsbaarheden een CVE-kenmerk bekend gesteld:

   CVE-2023-21512, CVE-2023-21513 en CVE-2023-21517

Mogelijke oplossingen
   Google heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in Android 11, 12 en 13. Voor meer informatie, zie:

   https://source.android.com/docs/security/bulletin/2023-06-01

   -= Samsung =-
   Samsung heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in Samsung Mobile devices. Voor meer informatie, zie:

   https://security.samsungmobile.com//securityUpdate.smsb

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=/gcT
-----END PGP SIGNATURE-----