Patchday: Google schließt kritische Remote-Lücken in Android
Mit dem neuen Security-Patch-Level verschwinden unter anderem vier aus der Ferne ausnutzbare Sicherheitslücken aus Android.
(Bild: Arthur_Shevtsov/Shutterstock.com)
Wie jeden Monat hat Google auch im Juni eine ganze Reihe von Sicherheitslücken im Android-Betriebssystem geschlossen. Ein Patchlevel ab 2020-06-05 aufwärts verrät, dass das System auf dem neuesten Stand ist. Mit 2020-06-01 wurden zumindest einige Lücken geschlossen.
Zeitgleich mit dem Android Security Bulletin für Juni 2020 ist ein separates Bulletin für Pixel-Geräte erschienen. Alle "unterstützten Google-Geräte" bekommen demnach automatisch ein Update angeboten, dass neben den regulären noch weitere Sicherheits- sowie funktionale Updates umfasst. Details zu diesen größtenteils mit "Moderate"-Einstufung versehenen Zusatz-Updates sind dem Pixel-Bulletin zu entnehmen.
Der Support für die Modelle Pixel und Pixel XL ist im Oktober 2019 ausgelaufen und die Geräte bekommen seitdem keine Sicherheitsupdates mehr. Im Oktober 2020 verlieren Pixel 2 und Pixel 2 XL den Supportanspruch.
Vier RCE-Lücken mit "Critical"-Einstufung gefixt
Das Android Security Bulletin führt ingesamt vier kritische Lücken auf – zwei in Komponenten des Betriebssystems (CVE-2020-0117, CVE-2020-8597), zwei weitere in Closed-Source-Qualcomm-Komponenten (CVE-2019-14073, CVE-2019-14080).
CVE-2020-0117 und CVE-2020-8597 sind aus der Ferne ausnutzbar (Remote Code Execution, RCE) und betreffen Android-Versionen ab 8.0 bis einschließlich der aktuellen Version 10. Google schreibt im Bulletin, dass ein Angreifer die schwerere der RCE-Lücken missbrauchen könnte, um beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Auf welche der beiden Lücken sich diese Beschreibung bezieht, ist unklar.
Bei CVE-2020-0117 handelt es sich wohl um einen Bug in der Android-Implementierung des AES-128-CMAC -Algorithmus, durch den ein stackbasierter Pufferüberlauf hervorgerufen werden könnte. CVE-2020-8597 wiederum ist in der National Vulnerability Database (NVD) ein CVSS-Score von 9.8 zugeordnet. Die Lücke betrifft den Point-To-Point-Dienst (PPP) und kann ohne Authentfizierung ausgenutzt werden. Aktualisierte Pakete für diverse Linux-Distributionen, die ebenfalls von ihr betroffen waren, gibt es schon seit Jahresanfang; Details hierzu führt der NVD-Eintrag zur Lücke auf.
Den kritischen Lücken CVE-2019-14073 und CVE-2019-14080 widmet sich ein separates Advisory von Qualcomm. Es enthält eine wichtige Information, die in Googles Bulletin fehlt: Auch diese Lücken sind aus der Ferne ausnutzbar. Details dazu nennt Qualcomm nicht, dafür aber die jeweils betroffenen Chipsätze. (ovw)
