Android-Patchday: Kritische System-Lücke gibt Angreifern die volle Kontrolle
Es gibt wichtige Sicherheitsupdates für verschiedene Android-Versionen.
Wer ein Android-Smartphone oder -Tablet besitzt, sollte aus Sicherheitsgründen den Aktualisierungsvorgang in den Einstellungen starten. Google hat Sicherheitspatches für die Android-Versionen 8.1, 9, 10 und 11 veröffentlicht. Darin haben sie unter anderem „kritische“ Schwachstellen geschlossen.
Remote Code Execution
Durch das Ausnutzen von verschiedenen Lücken im System könnten Angreifer Angreifer Schadcode im Kontext eines Prozesses mit hohen Nutzerrechten ausführen. Im Framework finden sich drei Schwachstellen, über die Angreifer sich höhere Nutzerrechte aneignen könnten. Setzen Angreifer erfolgreich an zwei Lücken im Media Framework an, könnten sie am Ende mit höheren Rechten dastehen oder auf eigentlich abgeschottete Informationen zugreifen. Davor warnt Google in einer Sicherheitsmeldung.
Außerdem haben die Google-Entwickler mehrere Lücken in verschiedenen Komponenten von Qualcomm geschlossen. Hiervon ist unter anderem die Kamera betroffen. Der Großteil der Lücken ist mit „hoch“ eingestuft.
Gepatcht oder nicht gepatcht?
Wenn in den Einstellungen das Patch-Level 2021-05-01 angezeigt wird, ist das Gerät mit den aktuellen Sicherheitsupdates ausgestattet. Die Anzeige von 2021-05-05 sagt aus, dass neben den aktuellen Patches auch alle älteren installiert sind.
Googles Pixel-Serie hat noch zusätzliche Patches spendiert bekommen. Diese sichern Kernel- und Qualcomm-Komponenten ab. Alle geschlossenen Schwachstellen sind mit dem Bedrohungsgrad „moderat“ eingestuft.
Neben den Pixel-Geräte erhalten auch andere Hersteller von Android-Smartphones die Sicherheitsupdates und stellen diese im besten Fall zum Download bereit (siehe Kasten rechts). Außerdem sind die Sicherheitsupdates auch im Android Open Source Project (AOSP) verfügbar.
(des)
