Android-Patchday: Google schließt 45 Sicherheitslücken

Google hat die Android-Sicherheitsbulletins für den Februar-Patchday veröffentlicht. Die jüngsten Updates beseitigen 45 Anfälligkeiten, von denen einige auch als kritisch eingestuft sind. Unter Umständen sind Unbefugte in der Lage, beliebigen Code aus der Ferne einzuschleusen und in einem privilegierten Prozess auszuführen. Sie könnten auf diese Art die vollständige Kontrolle über ein Android-Gerät übernehmen oder es permanent unbrauchbar machen – was zu einem Verlust ungesicherter Daten führen würde.

Mit der Sicherheitspatch-Ebene 1. Februar erhalten Nutzer Fixes für 21 Schwachstellen. Sie stecken in der Android Runtime, im Android Framework, dem Media Framework und im Android System. Zudem aktualisiert Google über Google Play die Mediencodecs, die derzeit ebenfalls unsicher sind.

Betroffen sind die OS-Versionen 8.x, 9, 10 und 11. Neben einer Remotecodeausführung ist laut den Bulletins auch eine nicht autorisierte Ausweitung von Nutzerrechten sowie der Diebstahl von vertraulichen Informationen möglich. Dies gilt auch für die Fehlerkorrekturen der Sicherheitspatch-Ebene 5. Februar. Sie stopfen Löcher im Kernel und in Komponenten von Qualcomm wie WLAN, Audio, Kamera und Display.

Alle Details zu den Schwachstellen liegen Googles Android-Partnern bereits seit mindestens 30 Tagen vor. Auch das Android Open Source Project soll die Patches spätestens morgen erhalten. Während Google mit der Verteilung der Updates an seine Pixel-Geräte in der Regel sehr zeitnah zur Veröffentlichung der Sicherheitsbulletins beginnt, müssen Nutzer von Geräten anderer Hersteller oftmals Tage oder gar Wochen auf eine Aktualisierung warten – falls sie über ein dafür berechtigtes Smartphone oder Tablet verfügen.

Details zu herstellerspezifischen Patches liegen derzeit von LG und Samsung vor. Letzteres hat auch bereits mit der Auslieferung der Updates an bestimmte Geräte begonnen, darunter hierzulande das Galaxy S20.

Samsung schließt im Februar 42 Sicherheitslücken, von denen vier als kritisch bewertet sind. Darunter sind sechs Schwachstellen in eigener Software. Unter anderem behebt Samsung einen Fehler, der es Unbefugten mit Zugriff auf ein Gerät erlaubt, den Sicheren Ordner zu entsperren. LG beseitigt indes 41 Bugs, wovon die Entwickler drei als kritisch einstufen. Beide Hersteller erreichen mit ihren Updates allerdings nur die Android-Sicherheitspatch-Ebene 1. Februar.

Während Google sein Mobilbetriebssystem Android monatlich mit Patches versorgt, verfolgt Apple keinen festen Zeitplan für Sicherheitsupdates. Allerdings erhalten iPhones und iPads in der Regel über einen deutlich längeren Zeitraum Softwareaktualisierungen als Android-Geräte: Apple schließt seine Produkte meist erst fünf bis sechs Jahren nach deren Marktstart von den Updates aus. Android-Nutzer erhalten je nach Gerätehersteller maximal drei bis vier Jahre lang Patches.