Patchday fĂĽr Android-Systeme: Google beseitigt unter anderem Remote-Einfallstor
Zum monatlichen Patchday wurden LĂĽcken mit durchweg hoher bis kritischer Einstufung aus dem mobilen Betriebssystem Android entfernt.
Wie jeden Monat hat Google auch im August Sicherheitsupdates für Android veröffentlicht. Fixes für insgesamt 54 Sicherheitslücken heben den Patchlevel des mobilen Betriebssystems auf 2020-08-05 an. Sechs der beseitigten Lücken gelten als kritisch; von den übrigen geht ein "hohes" Sicherheitsrisiko aus.
Offizielle Android-Partner, so schreibt Google im Android Security-Bulletin für August 2020, erhalten mindestens einen Monat vorab Informationen zu den Sicherheitsproblemen, um ihre Kunden (zumindest in der Theorie) zeitnah mit gerätespezifischen Updates versorgen zu können.
An unterstützte Pixel-Geräte verteilt Google die Updates wie immer automatisch – zusammen mit drei zusätzlichen Patches, die das Unternehmen in einem separaten Pixel-Update Bulletin für August 2020 aufführt.
Remote-Code-Execution-LĂĽcke im Framework
Die gefährlichste (wenn auch mit "High" eingestufte) Lücke steckt laut Google im Android-Framework. Sie trägt die CVE-Nummer CVE-2020-0240 und ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes (Remote Code Execution, RCE) im Kontext eines unprivilegierten Prozesses mittels einer "speziell präparierten Datei".
Weitere Sicherheitslücken ermöglichen Denial-of-Service-Angriffe (DoS), Rechteausweitung (Elevation of Privilege, im Bulletin: EoP) sowie den unbefugten Zugriff auf Informationen (Information Disclosure, "ID" im Bulletin).
Die kritischen Lücken (unter anderem mangelhafte Authentifizierungs- und Validierungsmechanismen, Race Conditions und Pufferüberläufe) stecken allesamt in Qualcomm-Komponenten.
Details nennt das Qualcomm-eigene August 2020 Security Bulletin:
- CVE-2020-11116 (WLAN Host)
- CVE-2019-10562 (QTEE)
- CVE-2019-10615 (HLOS)
- CVE-2019-13998 (Automotive OS Platform GHS)
- CVE-2020-3619 (Graphics)
- CVE-2020-3667 (WLAN Firmware)
Fun Fact am Rande
Ein nicht mit dem eigentlichen Inhalt des Android Security Bulletins in Verbindung stehendes, aber durchaus witziges Detail wird sichtbar, wenn man die Spracheinstellungen von Englisch nach Deutsch ändert. Aus der Kurzbezeichnung "ID" für "Information Disclosure" wird dann nämlich "ICH WÜRDE" – vermutlich falsch Auto-übersetzt von "I'd"/"I would".
(ovw)