Patchday Android: Kritische System- und Qualcomm-Lücken geschlossen
Angreifer könnten Android-Geräte attackieren und unter anderem Informationen leaken oder sogar Schadcode ausführen.
Wer ein Android-Smartphone oder -Tablet besitzt, sollte in den Einstellungen das Patch Level prüfen. Aktuelle Sicherheitsupdates schließen mehrere Lücken im Betriebssystem.
Wie man aus einer Warnmeldung entnehmen kann, hat Google abgesicherte Versionen von Android 8.1, 9, 10 und 11 veröffentlicht. Wird das Patch Level 2021-06-01 in den Einstellungen angezeigt, ist das System auf dem aktuellen Stand. Die Bezeichnung 2021-06-05 sagt aus, das neben den aktuellen Sicherheitsupdates auch alle älteren installiert sind.
Kritische Schwachstellen
Am gefährlichsten gelten zwei als "kritisch" eingestufte Lücken (CVE-2021-0507, CVE-2021-0516) im System. Hier könnte ein entfernter Angreifer durch eine nicht näher beschriebene präparierte Übertragung Schadcode ausführen.
Drei Schwachstellen in ungenannten Qualcomm-Komponenten sind ebenfalls als "kritisch" eingestuft. Welche Auswirkungen erfolgreiche Attacken haben, ist bislang unbekannt.
Ebenfalls angreifbar
Weitere Lücken betreffen Android Runtime, Framework, Kernel-Komponenten, Media Framework, MediaTek-Komponenten und System. Die ausgehende Gefahr von diesen Lücken ist mit "hoch" eingestuft. Nach erfolgreichen Attacken könnten Angreifer Sicherheitsmechanismen umgehen und Schadcode ausführen.
Google versichert, dass der Source Code der Sicherheitspatches zeitnah im Android Open Source Project (AOSP) verfügbar ist. Außerdem stellen neben Google auch andere Hersteller von Android-Geräten wie Samsung und Sony monatliche Sicherheitsupdates zum Download bereit (siehe Kasten rechts).
Auch wenn sich die Update-Situation in den vergangenen Jahren verbessert hat, bekommt nur ein Bruchteil der Geräte Updates. Das ist besonders gefährlich, wenn Angreifer wie zuletzt im Mai Sicherheitslücken ausnutzen.
(des)
