Android-Patchday: Kritische Remote-Sicherheitslücke aus Betriebssystem beseitigt

Wie gewohnt hat Google auch diesen Monat im Rahmen des Android Patchday zahlreiche Sicherheitslücken in den Versionen 8.1, 9, 10 & 11 des mobilen Betriebssystems geschlossen. Das aktuelle Android Security Bulletin nennt 38 CVE-IDs. Ungewöhnlich ist, dass die Zahl der CVEs im separaten Bulletin für Googles Pixel-Smartphones jene im regulären Bulletin diesmal übertrifft: 43 sind es dort.

Die aktuellen Updates heben den Patchlevel auf 2021-03-01 beziehungsweise 2021-03-05 an. Beim erstgenannten Level handelt es sich um eine Teilmenge der Patches, die im Android Security Bulletin explizit als solche gekennzeichnet ist; 2021-03-05 oder höher bedeutet, dass alle März-Updates auf dem jeweiligen Gerät angekommen sind. Herstellern von Android-Geräten soll diese Vorgehensweise laut Google mehr Flexibilität beim Patchen ermöglichen.

Mehrere kritische Sicherheitslücken geschlossen

Als gefährlichste gefixte Sicherheitslücke hebt Google im Android Security Bulletin für März CVE-2021-0397 hervor. Die Lücke steckt in der "System"-Komponente, also im Betriebssystemcode. Sie kann aus der Ferne mittels Übertragung speziell präparierter Daten missbraucht werden, um beliebigen Code im Kontext eines privilegierten Prozesses zur Ausführung zu bringen (Remote Code Execution).

Fünf weitere kritische Sicherheitslücken steck(t)en in Closed-Source-Komponenten von Qualcomm. Details zu CVE-2020-11192, CVE-2020-11227 (Data Modem-Komponente), CVE-2020-11218 (LTE) und CVE-2020-11228 (Core) nennt ein aktuelles Security Bulletin von Qualcomm; CVE-2020-11204 (Qualcomm IPC) wurde bereits im Februar-Bulletin von Qualcomm thematisiert. Drei der Lücken sind ebenfalls aus der Ferne ausnutzbar.

Separate Pixel-Updates

Die Sicherheitslücken-Einstufungen im Pixel Security Bulletin für März reichen von "Moderate" bis "High". Modellabhängig und nur dann, wenn Android 11 auf ihnen läuft, erhalten Googles Geräte zusätzlich zu den Lücken- noch Bug-Fixes sowie funktionale Updates. Ein Eintrag im Pixel Community Forum bietet eine Übersicht über die Neuerungen.

Alle Pixel-spezifischen Aktualisierungen werden zusammen mit den regulären Android-Patches (Level 2021-03-05) automatisch an unterstützte Pixel-Geräte verteilt. Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code in ihre eigenen Updates zu integrieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

• BlackBerry
• Fairphone 3
• Fairphone 4
• Huawei
• LG
• Motorola
• Nokia
• Oppo
• Samsung
• Sony
• Support für Nexus- und Pixel-Geräte

(ovw)