Alert!

Android Patchday: Updates schließen mehrere hochriskante Lücken

Im September gibt Google zum Patchday fehlerbereinigte Android-Versionen heraus. Sie schließen vor allem hochriskante Lücken.

18

Sicherheitslücken bedrohen Android-Smartphones.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Update 04.09.2024, 11:35 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Google hat am September-Patchday neue Android-Versionen veröffentlicht. Sie schließen Sicherheitslücken im Handy-Betriebssystem, von denen die meisten als hohes Risiko eingestuft wurden.

In der Sicherheitsmitteilung erörtern Googles Entwickler, welche Schwachstellen mit den Updates ausgebessert werden. Der Patch-Level 2024-09-01 dichtet elf Sicherheitslecks ab. Im Android-Framework von Android 12,12L, 13 und 14 finden sich drei Schwachstellen, die Angreifern das Ausweiten ihrer Rechte ermöglichen. Es gebe Hinweise, dass eine dieser Lücken in Framework (CVE-2024-32896) bereits in gezielten Angriffen missbraucht werde, erklärt Google. Im System finden sich fünf weitere, ebenfalls hochriskante Lücken mit denselben Auswirkungen. Zudem ermöglicht eine weitere Schwachstelle das unbefugte Ausspähen von Informationen. Lediglich im Android-14-System klafft eine Denial-of-Service-Lücke. Ohne weitere Informationen schließt Google zudem ein Leck mit einer Google-Play-Systemaktualisierung, sie betrifft den Mechanismus "Remote Key Provisioning".

Weitere Korrekturen für Komponenten

Der Patch-Level 2024-09-05 bessert sicherheitsrelevante Fehler insbesondere in diversen Komponenten unter anderem von Drittherstellern aus. Der Kernel enthielt eine Rechteausweitungslücke. Zudem gibt es Aktualisierungen für ARM Mali-Grafiktreiber, ebenso für PowerVR-Grafikeinheiten von Imagination Technologies. Die CPU-Hersteller Unisoc und Qualcomm haben ebenfalls zahlreiche Lecks in dem Patch-Level geschlossen, von denen einige sogar die Einstufung als kritisches Risiko erhalten haben.

Jetzt ist es an den Handy-Herstellern, die sicherheitsrelevanten Fehlerkorrekturen in Firmware-Updates für die Android-Smartphones zu gießen und an die betroffenen Kunden zu verteilen. Den Aufschlag macht Google für die Pixel-Handys. Laut Sicherheitsmitteilung von Google korrigieren die Updates die Fehler mit dem 2024-09-05-Patch-Level. Zusätzlich stopfen die Entwickler jedoch vier nicht näher erläuterte, als kritisch eingeordnete Lücken, sowie zwei weitere mit hohem Bedrohungsgrad.

Lesen Sie auch

Android 15: Quellcode jetzt verfügbar

Google hat zudem gerade die Quelltexte von Android 15 in AOSP veröffentlicht. Hier dürften die ersten Hersteller in Kürze Upgrades für unterstützte Smartphones bereitstellen.

Zum Android-Patchday im August hatte Google bereits zahlreiche Schwachstellen ausgebessert. Dort wurde eine im Kernel jedoch bereits aktiv angegriffen, die die Updates dann geschlossen haben.

Update 05.09.2024, 07:41 Uhr

Die Framework-Lücke CVE-2024-32896 wird laut Google bereits in gezielten Angriffen missbraucht. Im Text ergänzt.

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.