Alert!

Patchday: Android unter anderem gegen Remote Code Execution abgesichert

Die neuesten Sicherheitsupdates für Googles mobiles Betriebssystem Android fixen neben vier kritischen Lücken noch zahlreiche weitere Sicherheitsprobleme.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen

(Bild: Arthur_Shevtsov/Shutterstock.com)

Lesezeit: 2 Min.

Zum ersten Patchday im neuen Jahr hat Google zahlreiche Sicherheitslücken aus den Android-Versionen 8.0, 8.1, 9, 10 und 11 beseitigt. Vier von ihnen gelten als kritisch und hätten von Angreifern unter anderem missbraucht werden können, um Denial-of-Service-Angriffe durchzuführen oder aus der Ferne Code auf verwundbaren Geräten zur Ausführung zu bringen (Remote Code Execution). Mit einer "Moderate"-Ausnahme geht von den übrigen Lücken ein hohes Risiko aus.

Das Android Security Bulletin für Januar 2021 unterscheidet zwei Patch-Level, deren Einspielen entweder einen Teil der Sicherheitslücken (Level 2021-01-01) oder auch alle Lücken (Level 2021-01-05) behebt. Herstellern von Android-Geräten soll diese Vorgehensweise laut Google mehr Flexibilität beim Patchen ermöglichen.

Die nach Googles Einschätzung gefährlichste der geschlossenen Sicherheitslücken, CVE-2021-0316, steckt direkt im Betriebssystem-Code (Abschnitt "System" im Bulletin). Sie ermöglicht Angreifern Remote Code Execution im Kontext eines privilegierten Prozesses. Zur Angriffsdurchführung deutet Google lediglich an, dass die Übertragung speziell präparierter Daten nötig sei.

CVE-2021-0316 wird,ebenso wie die kritische Lücke CVE-2021-0313 (Denial-of-Service) im Android-Framework, durch das Anheben des Patch-Levels auf 2021-01-01 beseitigt. Zum Eliminieren zweier weiterer Sicherheitslücken mit "Critical"-Einstufung in Closed-Source-Komponenten von Qualcomm – CVE-2020-11134 und CVE-2020-11182 – ist hingegen Level 2021-01-05 nötig.

Wie gewohnt ist zusätzlich ein separates Januar-Bulletin mit Updates für Googles Pixel-Geräte erschienen. Es umfasst vier weitere Security-Fixes, die zusammen mit allen übrigen Patches automatisch an unterstützte Pixel-Geräte verteilt werden. Hinzu kommen mehrere funktionale Patches aus den Bereichen Audio, Grafik, Sensoren und Telefonie. Details dazu nennt ein Beitrag im Pixel-Support-Forum.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code zu implementieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(ovw)