Patchday: Android unter anderem gegen Remote Code Execution abgesichert

  • Allgemein

  • mad.de
  • 442 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Patchday: Android unter anderem gegen Remote Code Execution abgesichert

    Die neuesten Sicherheitsupdates für Googles mobiles Betriebssystem Android fixen neben vier kritischen Lücken noch zahlreiche weitere Sicherheitsprobleme.
    Zum ersten Patchday im neuen Jahr hat Google zahlreiche Sicherheitslücken aus den Android-Versionen 8.0, 8.1, 9, 10 und 11 beseitigt. Vier von ihnen gelten als kritisch und hätten von Angreifern unter anderem missbraucht werden können, um Denial-of-Service-Angriffe durchzuführen oder aus der Ferne Code auf verwundbaren Geräten zur Ausführung zu bringen (Remote Code Execution). Mit einer "Moderate"-Ausnahme geht von den übrigen Lücken ein hohes Risiko aus.

    Das Android Security Bulletin für Januar 2021 unterscheidet zwei Patch-Level, deren Einspielen entweder einen Teil der Sicherheitslücken (Level 2021-01-01) oder auch alle Lücken (Level 2021-01-05) behebt. Herstellern von Android-Geräten soll diese Vorgehensweise laut Google mehr Flexibilität beim Patchen ermöglichen.

    Kritische Sicherheitslücken
    Die nach Googles Einschätzung gefährlichste der geschlossenen Sicherheitslücken, CVE-2021-0316, steckt direkt im Betriebssystem-Code (Abschnitt "System" im Bulletin). Sie ermöglicht Angreifern Remote Code Execution im Kontext eines privilegierten Prozesses. Zur Angriffsdurchführung deutet Google lediglich an, dass die Übertragung speziell präparierter Daten nötig sei.

    CVE-2021-0316 wird,ebenso wie die kritische Lücke CVE-2021-0313 (Denial-of-Service) im Android-Framework, durch das Anheben des Patch-Levels auf 2021-01-01 beseitigt. Zum Eliminieren zweier weiterer Sicherheitslücken mit "Critical"-Einstufung in Closed-Source-Komponenten von Qualcomm – CVE-2020-11134 und CVE-2020-11182 – ist hingegen Level 2021-01-05 nötig.

    Separates Bulletin für Pixel-Geräte
    Wie gewohnt ist zusätzlich ein separates Januar-Bulletin mit Updates für Googles Pixel-Geräte erschienen. Es umfasst vier weitere Security-Fixes, die zusammen mit allen übrigen Patches automatisch an unterstützte Pixel-Geräte verteilt werden. Hinzu kommen mehrere funktionale Patches aus den Bereichen Audio, Grafik, Sensoren und Telefonie. Details dazu nennt ein Beitrag im Pixel-Support-Forum.

    Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code zu implementieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

    Quelle: Patchday: Android unter anderem gegen Remote Code Execution abgesichert | heise online