Patchday: Google schließt kritische Lücken in Android
Es sind wichtige Sicherheitsupdates für die Android-Versionen 8.1, 9, 10 und 11 erschienen.
Angreifer könnten Android-Geräte attackieren und sich höhere Nutzerrechte aneignen oder sogar Schadcode ausführen. Um das Betriebssystem dagegen abzusichern, hat Google am Patchday im Juli mehrere Sicherheitspatches veröffentlicht.
Besitzer von Android-Geräten sollten in den Einstellungen sicherstellen, dass mindestens das Patch Level 2021-07-01 installiert ist. Google gibt an, dass der Sourcecode der Sicherheitsupdates im Android Open Source Project (AOSP) enthalten ist. Neben Google veröffentlichen beispielsweise auch LG und Samsung monatlich Android-Updates (siehe Kasten rechts).
Die Sicherheitslücken
Als besonders gefährlich gelten mehrere als "kritisch" eingestufte Lücken in Qualcomm-Komponenten (unter anderem WLAN). Eine Schwachstelle (CVE-2021-0592) in der DRM-Komponente Widevine gilt ebenfalls als kritisch. Eine konkrete Beschreibung der Lücken führt Google in einer Warnmeldung nicht auf. Aufgrund der Einstufung ist aber davon auszugehen, dass Angreifer nach erfolgreichen Attacken eigenen Code auf Geräten ausführen können.
Der Großteil der weiteren Lücken ist mit dem Bedrohungsgrad "hoch" eingestuft. In den meisten Fällen könnten Angreifer nach erfolgreichen Attacken mit erhöhten Nutzerrechten dastehen. An einer System-Lücke soll ein entfernter Angreifer ansetzen können, um eigene Befehle mit den Rechten des Opfers ausführen zu können. Auch der Zugriff auf eigentlich abgeschottete Information ist Google zufolge vorstellbar.
Wie aus einem Beitrag hervorgeht, hat Google für Geräte der Pixel-Serie zusätzliche Sicherheitsupdates veröffentlicht. Durch das erfolgreiche Ausnutzen einer Schwachstelle (CVE-2021-0654, "hoch") im Launcher könnten Angreifer Informationen leaken lassen. Die weiteren Sicherheitslücken sind mit der Einschätzung "moderat" versehen.
(des)
