Patchday: Kritische System-Lücke bedroht Android 11, 12 und 13
Google hat wichtige Sicherheitsupdates für verschiedene Android-Versionen veröffentlicht.
(Bild: heise online)
Angreifer können Android-Geräte über mehrere Wege attackieren und etwa unbefugt auf Daten zugreifen oder sich höhere Nutzerrechte verschaffen. Neben Google veröffentlichen unter anderem auch LG und Samsung für ausgewählte Geräte monatlich Sicherheitspatches (siehe Kasten rechts).
Wer ein noch im Support befindliches Smartphone oder Tablet besitzt, sollte es zeitnah auf den aktuellen Stand bringen. Die Patch Levels 2023-11-01 und 2023-11-05 sind ab sofort verfügbar.
Gefährliche Schwachstellen
In einem Beitrag stuft Google eine "kritische" Lücke (CVE-2023-40113) im System als besonders bedrohlich ein. Den Informationen zufolge benötigt ein Angreifer für eine erfolgreiche Attacke keine zusätzlichen Ausführungsrechte. Klappt ein Angriff, soll der lokale Zugriff auf eigentlich abgeschottete Daten möglich sein. Wie Attacken aussehen könnten, skizziert Google derzeit nicht.
Die weiteren Schwachstellen im Framework und System sind mit dem Bedrohungsgrad "hoch" eingestuft. Sie betreffen größtenteils die Android-Versionen 11, 12, 13 und 14. An diesen Stellen können Angreifer Informationen leaken, sich höhere Nutzerrechte verschaffen oder für DoS-Attacken ansetzen.
Außerdem gibt es noch Aktualisierungen für den Kernel, um Geräte vor möglichen Attacken zu schützen. Zusätzliche haben die Entwickler Komponenten von Arm, MediaTek und Qualcomm abgesichert. Davon sind unter anderem Audio- und Video-Komponenten betroffen. Vier Lücken in nicht näher spezifizierten Komponenten gelten als "kritisch".
Googles Pixel-Serie bekommt einer Warnmeldung zufolge mehrere Extra-Patches. Unter anderem wurde eine WLAN-Lücke (CVE-2023-28553) geschlossen. Alle Schwachstellen sind mit "moderat" eingestuft. Was Angreifer nach erfolgreichen Attacken anstellen können, ist derzeit nicht bekannt.
(des)
