Patchday: Android-Lücken mit kritischem Risiko gestopft
Zum April-Patchday hat Google Sicherheitslücken im Android-Betriebssystem geschlossen, die die Entwickler teils als kritisch einstufen.
(Bild: heise online)
Auch am April-Patchday gibt es für Googles Entwickler wieder zahlreiche Sicherheitslücken im Android-Betriebssystem zu stopfen. Insgesamt 68 Schwachstellen listet Google auf, die mit den jetzt verfügbaren Aktualisierungen für Android 11, 12, 12L und 13 Geschichte sein sollen.
Das Patch-Level 2023-04-01 konzentriert sich auf die Kernkomponenten des Android-Betriebssystems. 28 Sicherheitslücken dichten die Entwickler hier ab. Davon betreffen zwei das System und werden als kritischer Bedrohungsgrad eingestuft. Sie ermöglichen Angreifern das Ausführen von untergejubeltem Code (CVE-2023-21085, CVE-2023-21096).
Android: Kritische Lücken im System
Google erklärt in der Sicherheitsmeldung dazu: "Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke in der Systemkomponente, die zu einer Codeausführung aus dem Netz, ohne dass dafür zusätzliche Ausführungsberechtigungen nötig wären, führen kann. Zum Ausnutzen der Schwachstelle ist keine Benutzerinteraktion erforderlich". Wie ein Angriff konkret aussehen würde, erläutern die Entwickler jedoch nicht.
(Bild: Screenshot/dmk)
Die meisten der geschlossenen Lücken, 15 an der Zahl, ermöglichen bösartigen Akteuren die Rechteausweitung am System. Außerdem schließen die Entwickler zwei Lücken mit Google Play Systemupdates, einmal in der Mediaprovider-Komponente und einmal im WLAN-System.
Das Patchlevel 2023-04-05 umfasst 40 weitere Sicherheitsfixes, insbesondere für Hardware-Komponenten. So betreffen fünf der Sicherheitslücken direkt Arm-Komponenten, oder sogar 13 die PowerVR-GPUs von Imagination Technologies. Für Mediatek-SoCs stehen sieben Korrekturen zum Stopfen von Sicherheitslecks bereit, für Unisoc vier, für Qualcomm neun. Zwei Schwachstellen dichten die Entwickler im Kernel ab, durch die Angreifer ihre Rechte im System ausweiten könnten.
In Kürze dürften die namhaften Android-Smartphone-Anbieter aktualisierte Firmware veröffentlichen, die die Fehlerbereinigungen enthält. Die Updates für Googles Pixel-Phones lassen noch auf sich warten, während Samsung bereits den Umfang der Security Maintenance Release genannten Aktualisierungen nennt, die noch 23 weitere, Samsung-spezifische Schwachstellen ausbessern. Weitere Hersteller sind im Kasten verlinkt.
Am März-Patchday musste Google ebenfalls kritische Systemlücken im Smartphone-Betriebssystem abdichten. Auch sie ermöglichten Angreifern, Schadcode auf verwundbaren Geräten auszuführen.
(dmk)
