Alert!

Patchday fĂĽr Android-Systeme: Google beseitigt unter anderem Remote-Einfallstor

Zum monatlichen Patchday wurden LĂĽcken mit durchweg hoher bis kritischer Einstufung aus dem mobilen Betriebssystem Android entfernt.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Patchday fĂĽr Android-Systeme: Google beseitigt unter anderem Remote-Einfallstor
Lesezeit: 2 Min.

Wie jeden Monat hat Google auch im August Sicherheitsupdates für Android veröffentlicht. Fixes für insgesamt 54 Sicherheitslücken heben den Patchlevel des mobilen Betriebssystems auf 2020-08-05 an. Sechs der beseitigten Lücken gelten als kritisch; von den übrigen geht ein "hohes" Sicherheitsrisiko aus.

Offizielle Android-Partner, so schreibt Google im Android Security-Bulletin für August 2020, erhalten mindestens einen Monat vorab Informationen zu den Sicherheitsproblemen, um ihre Kunden (zumindest in der Theorie) zeitnah mit gerätespezifischen Updates versorgen zu können.

An unterstützte Pixel-Geräte verteilt Google die Updates wie immer automatisch – zusammen mit drei zusätzlichen Patches, die das Unternehmen in einem separaten Pixel-Update Bulletin für August 2020 aufführt.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Die gefährlichste (wenn auch mit "High" eingestufte) Lücke steckt laut Google im Android-Framework. Sie trägt die CVE-Nummer CVE-2020-0240 und ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes (Remote Code Execution, RCE) im Kontext eines unprivilegierten Prozesses mittels einer "speziell präparierten Datei".

Weitere Sicherheitslücken ermöglichen Denial-of-Service-Angriffe (DoS), Rechteausweitung (Elevation of Privilege, im Bulletin: EoP) sowie den unbefugten Zugriff auf Informationen (Information Disclosure, "ID" im Bulletin).

Die kritischen Lücken (unter anderem mangelhafte Authentifizierungs- und Validierungsmechanismen, Race Conditions und Pufferüberläufe) stecken allesamt in Qualcomm-Komponenten.

Details nennt das Qualcomm-eigene August 2020 Security Bulletin:

Ein nicht mit dem eigentlichen Inhalt des Android Security Bulletins in Verbindung stehendes, aber durchaus witziges Detail wird sichtbar, wenn man die Spracheinstellungen von Englisch nach Deutsch ändert. Aus der Kurzbezeichnung "ID" für "Information Disclosure" wird dann nämlich "ICH WÜRDE" – vermutlich falsch Auto-übersetzt von "I'd"/"I would".

"Ich wĂĽrde" ... ja, was denn? Hier ist wohl die Auto-Ăśbersetzung schief gelaufen.

(Bild: source.android.com)

(ovw)