Android Patchday: Updates schließen mehrere hochriskante Lücken
Im September gibt Google zum Patchday fehlerbereinigte Android-Versionen heraus. Sie schließen vor allem hochriskante Lücken.
Sicherheitslücken bedrohen Android-Smartphones.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Google hat am September-Patchday neue Android-Versionen veröffentlicht. Sie schließen Sicherheitslücken im Handy-Betriebssystem, von denen die meisten als hohes Risiko eingestuft wurden.
In der Sicherheitsmitteilung erörtern Googles Entwickler, welche Schwachstellen mit den Updates ausgebessert werden. Der Patch-Level 2024-09-01 dichtet elf Sicherheitslecks ab. Im Android-Framework von Android 12,12L, 13 und 14 finden sich drei Schwachstellen, die Angreifern das Ausweiten ihrer Rechte ermöglichen. Es gebe Hinweise, dass eine dieser Lücken in Framework (CVE-2024-32896) bereits in gezielten Angriffen missbraucht werde, erklärt Google. Im System finden sich fünf weitere, ebenfalls hochriskante Lücken mit denselben Auswirkungen. Zudem ermöglicht eine weitere Schwachstelle das unbefugte Ausspähen von Informationen. Lediglich im Android-14-System klafft eine Denial-of-Service-Lücke. Ohne weitere Informationen schließt Google zudem ein Leck mit einer Google-Play-Systemaktualisierung, sie betrifft den Mechanismus "Remote Key Provisioning".
Weitere Korrekturen für Komponenten
Der Patch-Level 2024-09-05 bessert sicherheitsrelevante Fehler insbesondere in diversen Komponenten unter anderem von Drittherstellern aus. Der Kernel enthielt eine Rechteausweitungslücke. Zudem gibt es Aktualisierungen für ARM Mali-Grafiktreiber, ebenso für PowerVR-Grafikeinheiten von Imagination Technologies. Die CPU-Hersteller Unisoc und Qualcomm haben ebenfalls zahlreiche Lecks in dem Patch-Level geschlossen, von denen einige sogar die Einstufung als kritisches Risiko erhalten haben.
Jetzt ist es an den Handy-Herstellern, die sicherheitsrelevanten Fehlerkorrekturen in Firmware-Updates für die Android-Smartphones zu gießen und an die betroffenen Kunden zu verteilen. Den Aufschlag macht Google für die Pixel-Handys. Laut Sicherheitsmitteilung von Google korrigieren die Updates die Fehler mit dem 2024-09-05-Patch-Level. Zusätzlich stopfen die Entwickler jedoch vier nicht näher erläuterte, als kritisch eingeordnete Lücken, sowie zwei weitere mit hohem Bedrohungsgrad.
Lesen Sie auch
Android 15: Quellcode jetzt verfügbar
Google hat zudem gerade die Quelltexte von Android 15 in AOSP veröffentlicht. Hier dürften die ersten Hersteller in Kürze Upgrades für unterstützte Smartphones bereitstellen.
Zum Android-Patchday im August hatte Google bereits zahlreiche Schwachstellen ausgebessert. Dort wurde eine im Kernel jedoch bereits aktiv angegriffen, die die Updates dann geschlossen haben.
Die Framework-Lücke CVE-2024-32896 wird laut Google bereits in gezielten Angriffen missbraucht. Im Text ergänzt.
(dmk)