Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Android-Patchday: DoS-Attacke könnte Smartphones dauerhaft lahmlegen

Es gibt wichtige Sicherheitsupdates für Android 8.1, 9, 10 und 11. Darin haben die Entwickler mehrere kritische Lücken geschlossen.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Angreifer könnten Android-Geräte attackieren und sich unter anderem höhere Nutzerrechte verschaffen oder auf eigentlich abgeschottete Informationen zugreifen. Android-Nutzer sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind (Patchlevel 2021-09-01 oder 2021-09-05).

Gefährliche Attacken

Als besonders gefährlich stuft Google in einer Warnmeldung eine "kritische" DoS-Lücke (CVE-2021-0687) im Framework ein. Viele Details dazu sind nicht bekannt. Ein entfernter Angreifer soll Attacken mit einer präparierten Datei einleiten können. Klappt das, soll die Folge ein permanenter DoS-Zustand sein. Nach DoS-Attacken stürzt Software in der Regel ab. In diesem Fall klingt das so, als wäre das Gerät nach einer erfolgreichen Attacke nicht mehr benutzbar.

Kritische Schwachstellen betreffen auch mehrere Qualcomm-Komponenten. Welche das im Detail sind, ist derzeit unklar. Die verbleibenden Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft. Nach erfolgreichen Attacken können Angreifer mit erhöhten Rechten dastehen oder Daten leaken.

Weitere Schwachstellen betreffen unter andrem noch Kernel- und MediaTek-Komponenten. Auch Lücken im System und Media Framework könnten Einfallstore für Angreifer sein. Dafür müssten Angreifer laut Aussage von Google aber lokal eine mit Schadcode versehene Applikation laufen lassen. Das ist aber in der Regel nicht ohne Weiteres möglich.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Googles Pixel-Serie bekommt diesen Monat zusätzliche Sicherheitsupdates. Einem Beitrag zufolge haben die Entwickler unter anderem eine Schadcode-Lücke (CVE-2021-0869 "hoch") geschlossen. Pixel-Besitzer sollten darauf achten, dass im Oktober 2021 der Support für Pixel-3- und Pixel-3-XL-Geräte ausläuft. Danach gibt es für die Serie keine Sicherheitsupdates mehr.

Neben Google liefern noch etwa LG und Samsung monatlich Sicherheitsupdates für einige ihrer Android-Geräte (siehe Kasten rechts).

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten