Wer ein Android-Smartphone aus Googles Pixel-Serie besitzt, sollte in den Einstellungen die aktuelle Version des Betriebssystems prüfen und gegebenenfalls aktualisieren. Andernfalls könnten Angreifer Geräte in einigen Fällen aus der Ferne attackieren und die volle Kontrolle übernehmen.
Das Patchlevel 2019-11-01 enthält neben den Sicherheitsupdates aus diesem Monat noch weitere ältere Fixes. Das Patchlevel 2019-11-05 beinhaltet aller bisherigen erschienen Updates. Google zufolge haben Android-Partner seit mehr als einem Monat Zugriff auf die Updates, damit sie diese für ihre Geräte anpassen können.
Neben Google gibt es auch beispielsweise bei Samsung und Sony monatliche Android-Patchdays (siehe Kasten rechts). Zusätzlich sind die Updates auch im Android Open Source Project (AOSP) verfügbar, schreibt Google in einer Sicherheitswarnung.
Gefährliche Lücken
Insgesamt sind acht Lücken mit dem Bedrohungsgrad "kritisch" eingestuft. Vier davon finden sich in Systemkomponenten. Dort könnten entfernte Angreifer ansetzen und wenn eine Attacke erfolgreich ist, Schadcode mit erhöhten Rechten ausführen. Die vier verbleibenden Schwachstellen betreffen Qualcomm-Komponenten.
Die weiteren Sicherheitslücken sind mit dem Angriffsrisiko "hoch" versehen. Aufgrund von Schwachstellen im Framework könnte sich eine lokale App mit Schadcode unter bestimmten Voraussetzungen zusätzliche Berechtigungen erschleichen. Zum Ausnutzen von vier Kernel-Lücken benötigt ein Angreifer lokalen Zugriff. Auch hier ist die Ausführung von Schadcode vorstellbar.
Pixel-Geräte
Speziell für seine Pixel-Serie hat Google noch weitere Sicherheitsupdates veröffentlicht. Wie einer Warnmeldung zu entnehmen ist, gilt keine der Lücken als kritisch. Zu beachten ist, dass die Serien Pixel und Pixel XL im Oktober 2019 das letzte Mal Sicherheitspatches bekommen haben. Der Support für Nexus-Geräte ist bereits seit Ende 2018 ausgelaufen.
Quelle: Patchday: Mehrere Remote-Code-Execution-Lücken in Android geschlossen | heise online