Android-Patchday: Google bessert unter anderem beim Media Framework nach
Updates für das mobile Betriebssystem zielen wieder einmal auf das Media Framework, beseitigen aber etwa auch kritische Lücken aus Qualcomm-Komponenten.
(Bild: heise online (Collage))
Im Zuge des monatlichen Patchdays hat Google sein mobiles Betriebssystem Android (Versionen 8.1, 9, 10 & 11) gegen zahlreiche Angriffsmöglichkeiten abgesichert. Ob das eigene Gerät die Sicherheitsupdates erhalten hat, lässt sich anhand des Patch-Levels im Bereich "Einstellungen" prüfen: 2021-08-01 deckt einen Teil und 2021-08-05 sämtliche Patches von August ab.
Media Framework: Umgehen von Sicherheitsmechanismen
Wie schon häufiger in der Vergangenheit steckt die nach Googles Einschätzung gefährlichste Sicherheitslücke, CVE-2021-0519 mit "High"-Einstufung, in der Media-Framework-Komponente des Betriebssystems.
Laut Googles Beschreibung im Android Security Bulletin für August könnte eine lokal installierte schädliche Anwendung die Lücke missbrauchen, um Sandbox-Mechanismen des Betriebssystems zu umgehen, die Zugriffe auf andere Anwendungen und deren Daten verhindern sollen. Auf diesem Wege seien eine Rechteausweitung in Android 8.1 und 9 beziehungsweise der Zugriff auf sensible Informationen in den Versionen 10 und 11 möglich. Patch-Level 2021-08-01 schließt die Lücke.
Patch-Level 2021-08-05 wiederum nimmt sich auch fünf Sicherheitslücken an, die als kritisch gelten. Sie betreffen diverse Qualcomm-Komponenten und werden von Qualcomm in eigenen, im Android Security Bulletin verlinkten Advisories näher beschrieben.
Separates Google Pixel-Bulletin
Wie jeden Monat hat Google auch im August wieder ein separates Bulletin zu Zusatz-Patches für Pixel-Smartphones veröffentlicht. Diesmal führt das Pixel Update Bulletin für August 2021 aber lediglich drei Sicherheitslücken mit "Moderate"-Einstufung auf.
Alle Pixel-spezifischen Aktualisierungen werden zusammen mit den regulären Android-Patches automatisch an unterstützte Pixel-Geräte verteilt. Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code in ihre eigenen Updates zu integrieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.
- Android-Version prüfen und aktualisieren (Beschreibung von Google)
- Android-Themenseite bei heise online
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)
