CVE-2023-4863 security update?

[Quantenzitrone]

CVE-2023-4863 ist eine kritische 0-day vulnerability in der libwebp library, welche durch Chromium tief in Android eingebaut ist.

GrapheneOS hat bereits ein Sicherheitsupdate herausgebracht, das die Sicherheitslücke schließt.

Wäre es möglich, unabhängig von dem geplanten großen Update auf Android 13, ein kleines Update herauszubringen, das diese Sicherheitslücke schließt?

 

[danielp]

Wird mit ziemlicher Sicherheit nicht passieren!

Außerdem finde ich mit sicher noch viel andere solcher "kritische Sicherheitslücken" die seit dem letztem Update aufgetreten sind! Dafür hat es auch keine Updates gegeben.

Zusätzlich verstehe ich den ShiftOS-L Tag nicht. Betrifft doch sicher auch G!

 

[Quantenzitrone]

Ich hatte irgendwo gelesen, dass es für ShiftOS-G sowieso keine Updates mehr geben kann, da die Google Zertifizierung nicht mehr möglich ist, oder betrifft das nur Updates auf neuere Android versionen?

 

[danielp]

Das betrifft das Shift5me/6m aber nicht das Shift6mq!

 

[amartinz]

Ist gebackported und durchläuft gerade die Tests.

 

[danielp]

Kommt also mit 13 bzw. dem sowieso geplanten Zwischenupdate?

 

[amartinz]

Kommt also mit 13 bzw. dem sowieso geplanten Zwischenupdate?

Kommt mit ShiftOS 3.10 G/L sowie 5.x G/L.

CVE-2023-5217 ist übrigens auch gepatched und SPL 2023-10-05 inkludiert.

 

[MrTechfreak186]

Hoffentlich kommt das dann auch bald, es wäre sehr zu begrüßen wenn Android 13 endlich fertig ist und dann hoffentlich auch wieder regelmäßiger (Sicherheits-)Updates bekommt.
Denn das ist mir schon ein ein Dorn im Auge...

 

[amartinz]

Hoffentlich kommt das dann auch bald, es wäre sehr zu begrüßen wenn Android 13 endlich fertig ist und dann hoffentlich auch wieder regelmäßiger (Sicherheits-)Updates bekommt.
Denn das ist mir schon ein ein Dorn im Auge...

Uns geht es ebenso
Der eine Fehler in der Security-Test-Suite hat uns schlaflose Nächte bereitet.

Umso besser, dass das jetzt endlich gelöst und aus dem Weg ist.

 

[MartinNK]

Dachte es gibt für 6mq und ShiftOS 3 nochmal ein Zwischenupdate vor ShiftOS 5? Wo bleibt das nun? Bin immer noch bei Stand August 2022

->>

SHIFT6MQ.SOS.3.8.G.20220824​

 

[amartinz]

Dachte es gibt für 6mq und ShiftOS 3 nochmal ein Zwischenupdate vor ShiftOS 5? Wo bleibt das nun? Bin immer noch bei Stand August 2022

->>

SHIFT6MQ.SOS.3.8.G.20220824​

Sollte bald soweit sein.
Unserer Test Suites sind durchgelaufen und die Version muss nur noch von den Partnern freigegeben werden.

Unsere Partner hatten Feiertage und die Zertifizierung war deswegen pausiert.

In dieser Zeit wurden auch mehrere kritische Schwachstellen veröffentlicht (z.B. siehe hier und hier), welche wir auch unbedingt noch inkludieren wollen.
Deswegen hat sich das leider bisschen verzögert, aber wir sind dran und sollte nichtmehr allzu lange dauern.