Alert!

Patchday: Schadcode könnte via Bluetooth-Lücke auf Android-Geräten landen

Google und weitere Hersteller haben wichtige Sicherheitsupdates für Android-Geräte veröffentlicht. Eine GPU-Lücke nutzen Angreifer bereits aus.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Aufmacher Android-Patchday

(Bild: heise online)

Lesezeit: 2 Min.

Google hat verschiedene Bereiche des Android-Systems gegen mögliche Attacken abgesichert. Unter anderem das Framework und System sind über "kritische" Schadcode-Lücken angreifbar. Eine Schwachstelle in der Mali-GPU von ARM haben Angreifer Google zufolge bereits aktiv im Visier.

In einer Warnmeldung haben die Android-Entwickler die Fakten zum Patchday im Juni zusammengetragen. Dort stufen sie eine System-Lücke bei Bluetooth-Verbindungen am gefährlichsten ein. Die CVE-Nummer ist aus dem Beitrag nicht eindeutig zuzuordnen. Wenn Bluetooth nebst dem Hands-Free-Profile (HFP) aktiv ist, könnten Angreifer ohne Nutzerrechte an der Schwachstelle ansetzen und Schadcode aus der Ferne ausführen. Dafür ist keine Interaktion seitens des Opfers notwendig.

Die zweite gefährliche Schwachstelle (CVE-2023-22706 "hoch") betrifft die Mali-GPU der ARM-Komponente. Google zufolge nutzen Angreifer die Lücke derzeit "gezielt in begrenztem Umfang" aus. Die Cybersecurity & Infrastructure Security Agency (CISA) aus den USA warnte bereits Ende März 2023 vor Attacken. In den Fällen sollen Angreifer ohne Nutzerrechte auf eigentlich abgeschirmte Speicherbereiche zugreifen. Konkret betroffen sind die folgenden Kernel-Versionen:

  • Midgard GPU Kernel Driver r26p0 bis inklusive r31p0
  • Bifrost GPU Kernel Driver r0p0 bis inklusive r35p0
  • Valhall GPU Kernel Driver r19p0 bis inklusive r35p0

Die abgesicherte Ausgabe r36p0 ist nun in Android implementiert.

Im Framework gibt es eine "kritische" Schadcode-Lücke (CVE-2023-21127) und noch neun weitere mit dem Bedrohungsgrad "hoch" eingestufte Schwachstellen. Auch im System haben die Entwickler noch weitere Lücken geschlossen. Außerdem gibt es Sicherheitspatches für unter anderem Qualcomm- und Unisoc-Komponenten.

Wer ein noch im Support befindliches Android-Gerät von Google besitzt, sollte in den Einstellungen sicherstellen, dass das Security Patch Level 2023-06-01 oder 2023-06-05 installiert ist. Neben Google liefern auch Hersteller wie LG und Samsung monatlich Sicherheitsupdates (siehe Kasten).

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)