Android-Patchday: Angreifer können Rechte im System ausweiten
Google schließt am Android-Patchday mehrere Lücken, durch die Angreifer ihre Rechte ausweiten können.
Im Smartphone-Betriebssystem Android stopft Google einige Sicherheitslücken am Mai-Patchday. Bösartige Akteure können die meisten davon missbrauchen, um ihre Rechte im System auszuweiten. Die Smartphone-Prozessorhersteller haben ebenfalls Schwachstellen ausbessern müssen.
Laut der Sicherheitsmitteilung von Google haben die Programmierer des Unternehmens lediglich acht Sicherheitslücken im Android-Kernsystem gestopft. Davon betreffen vier das Android-Framework. Die erlauben allesamt die Ausweitung der Rechte im System und sind als hohes Risiko eingestuft. Im Android-System klaffen drei Rechteausweitung-Lücken, von denen eine sogar als kritisches Risiko gilt. Eine weitere hochriskante Lücke kann zu Informationsabfluss führen.
Android: Acht Lücken im Kernsystem
Die Schwachstellen betreffen Android 12, 12L, 13 und 14; die kritische Lücke lediglich Android 14. Drei davon – unter anderem die einzige als kritisches Risiko eingestufte Lücke – bessert Google über das Google-Play-System aus. Dadurch können also auch auf Smartphones in den Genuss von einigen der Sicherheitskorrekturen kommen, die noch kein Update vom Hersteller erhalten.
Neben dem Patchlevel 01.05.2024, der die vorgenannten Lücken schließt, gibt es noch den 05.05.2024-Patchlevel. Darin schließen die Entwickler unter anderem eine Kernel-Lücke, die ein hohes Risiko zum Verschaffen höherer Rechte im System bedeutet. Weitere darin korrigierte sicherheitsrelevante Fehler betreffen Komponenten des Prozessorentwicklers ARM, genauer gesagt gibt es drei Lücken in der Software zur Mali-GPU. Vier Schwachstellen finden sich in Mediatek-Komponenten, zehn in denen von Qualcomm.
Informationen zu den Updates für die Pixel-Smartphones fehlen derzeit noch, aber auch dafür dürfte in Kürze frische Firmware mit den Sicherheitsflicken bereitstehen. Nutzer und Nutzerinnen mit Android-Smartphones sollten prüfen, ob für ihr Smartphone bereits die Sicherheitsupdates verfügbar sind.
Im April hatte Google am Patchday in Android Sicherheitslecks gestopft, durch die Angreifer sich ebenfalls höhere Rechte verschaffen konnten. Der höchste Schweregrad der Lücken war dort als hohes Risiko eingestuft.
(dmk)