Oktober-Patchday: Google schließt kritische Sicherheitslücken in Android
Das Android Framework erlaubt den Diebstahl vertraulicher Informationen. Pixel-Geräte sind zudem anfällig für eine nicht autorisierte Ausweitung von Benutzerrechten. Insgesamt bringt der aktuelle Android-Patchday 57 Fixes.
Der Oktober bringt Patches für kritische Lücken in Googles Mobilbetriebssystem Android. Sie stecken in Komponenten von Qualcomm sowie dem Android Framework. Insgesamt stopft Google mit seinem monatlichen Patchday 57 Sicherheitslöcher.
In Qualcomm-Komponenten werden insgesamt zwei kritische Anfälligkeiten beseitigt, eine in einer Closed-Source-Komponente und eine in WLAN. Die kritische Schwachstelle im Android-Framework erlaubt Google zufolge den Diebstahl von vertraulichen Informationen. Davon betroffen sind Android 12L und 13.
Insgesamt sind jedoch auch Android 10, 11 und 12 angreifbar. Mögliche Einfallstore für Malware finden sich laut dem aktuellen Android Security Bulletin in Media Framework, System, Kernel und Kernel-Komponenten. Aber auch Hardwarekomponenten von Imagination Technologies, MediaTek, Unisoc und eben Qualcomm gelten derzeit als unsicher.
Samsung verteilt bereits Oktober-Patches
Google verteilt die Fixes wie immer auch zwei Sicherheitspatch-Ebenen. Die Ebene 01. Oktober enthält alle Fixes für Android System, Framework und Media Framework. Alle weiteren Korrekturen setzen die Sicherheitspatch-Ebene 05. Oktober voraus, die derzeit eigentlich nur Googles Pixel-Smartphones erreichen.
Das Pixel Security Bulletin nennt ebenfalls zwei kritische Schwachstellen, die eine nicht autorisierte Ausweitung von Benutzerrechten erlauben. Betroffen ist neben dem Kernel auch das Trusty genannte Betriebssystem der Trusted Execution Environment von Android.
Seinen Partner hat Google alle Fixes vor mindestens einem Monat zur Verfügung gestellt. Der Quellcode der Patches wird zudem dem Android Open Source Project zur Verfügung gestellt. Mit Patches anderer Hersteller von Android-Geräten wie Huawei, LG, Motorola, Nokia, OnePlus, Oppo und Vivo ist zumindest für ausgewählte Geräte in den kommenden Tagen und Wochen zu rechnen.
Mit der Auslieferung begonnen hat bereits der koreanische Anbieter Samsung. Hierzulande wurde unter bereits die Galaxy-S21-Reihe auf die Sicherheitspatch-Ebene 1. Oktober aktualisiert. Samsung stopft neben den bereits bekannten Lücken in Android auch zehn Löcher in eigener Software. Darunter ist eine kritische Schwachstelle, die nicht autorisierte Zugriffe auf geschützte Speicherbereiche erlaubt.