Patchday: Kritische System-Lücken bedrohen Android 11, 12 und 13
Google hat wichtige Sicherheitsupdates für Android-Geräte veröffentlicht. Im schlimmsten Fall könnten Angreifer Schadcode ausführen.
(Bild: heise online)
Wer ein im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das Patch Level auf dem aktuellen Stand von März ist. Ist das nicht der Fall, könnten Angreifer verwundbare Smartphones und Tablets attackieren. Google gibt an, in den Android-Versionen 11, 12, 12L und 13 Sicherheitsprobleme gelöst zu haben.
Schadcode-Lücken
Google stuft laut einem Blogeintrag eine System-Lücke als besonders "kritisch" ein. Für eine erfolgreiche Attacke sollen keine zusätzlichen Ausführungsrechte und keine Interaktion eines Opfers nötig sein. Wie so eine Attacke im Detail ablaufen könnte, ist bislang nicht bekannt. Unklar bleibt auch, welche kritische System-Lücke konkret gemeint ist (CVE-2023-20951, CVE-2023-20954).
Noch mehr Lücken (Bedrohungsgrad "hoch") im System könnten Angreifer als Ansatzpunkte für weitere Attacken dienen. Größtenteils könnten Angreifer sich höhere Nutzerrechte verschaffen.
Weitere Gefahren
Schwachstellen mit ähnlichen Auswirkungen betreffen das Framework. Hier könnten sich Angreifer höhere Nutzerrechte aneignen, Informationen leaken oder einen DoS-Angriff ausführen. Alle sieben Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft.
Über Google-Play-System-Updates haben die Entwickler Schwachstellen in unter anderem Media Codecs (CVE-2023-20956) und Wifi (CVE-2022-20499, CVE-2023-20910) geschlossen. Zusätzlich wurden noch Sicherheitsprobleme im Kernel (CVE-2021-33655 "hoch") und in verschiedenen MediaTek-, Qualcomm- und Unisoc-Komponenten geschlossen.
Google gibt an, diese Probleme mit den Patch Levels 2023-03-01 und 2023-03-05 gelöst zu haben. Neben dem Android-Entwickler stellen auch Hersteller wie Samsung monatlich Sicherheitsupdates für unterstützte Geräte zum Download bereit (siehe Kasten).
(des)
