Android-Patchday: Kritische Remote-Sicherheitslücke aus Betriebssystem beseitigt

  • TIPP

  • mad.de
  • 538 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Android-Patchday: Kritische Remote-Sicherheitslücke aus Betriebssystem beseitigt

    Zum Patchday im März hat Google unter anderem mehrere kritische Sicherheitslücken aus Android entfernt. Pixel-Geräte erhalten zahlreiche Zusatz-Patches.

    Wie gewohnt hat Google auch diesen Monat im Rahmen des Android Patchday zahlreiche Sicherheitslücken in den Versionen 8.1, 9, 10 & 11 des mobilen Betriebssystems geschlossen. Das aktuelle Android Security Bulletin nennt 38 CVE-IDs. Ungewöhnlich ist, dass die Zahl der CVEs im separaten Bulletin für Googles Pixel-Smartphones jene im regulären Bulletin diesmal übertrifft: 43 sind es dort.

    Die aktuellen Updates heben den Patchlevel auf 2021-03-01 beziehungsweise 2021-03-05 an. Beim erstgenannten Level handelt es sich um eine Teilmenge der Patches, die im Android Security Bulletin explizit als solche gekennzeichnet ist; 2021-03-05 oder höher bedeutet, dass alle März-Updates auf dem jeweiligen Gerät angekommen sind. Herstellern von Android-Geräten soll diese Vorgehensweise laut Google mehr Flexibilität beim Patchen ermöglichen.

    Mehrere kritische Sicherheitslücken geschlossen
    Als gefährlichste gefixte Sicherheitslücke hebt Google im Android Security Bulletin für März CVE-2021-0397 hervor. Die Lücke steckt in der "System"-Komponente, also im Betriebssystemcode. Sie kann aus der Ferne mittels Übertragung speziell präparierter Daten missbraucht werden, um beliebigen Code im Kontext eines privilegierten Prozesses zur Ausführung zu bringen (Remote Code Execution).

    Fünf weitere kritische Sicherheitslücken steck(t)en in Closed-Source-Komponenten von Qualcomm. Details zu CVE-2020-11192, CVE-2020-11227 (Data Modem-Komponente), CVE-2020-11218 (LTE) und CVE-2020-11228 (Core) nennt ein aktuelles Security Bulletin von Qualcomm; CVE-2020-11204 (Qualcomm IPC) wurde bereits im Februar-Bulletin von Qualcomm thematisiert. Drei der Lücken sind ebenfalls aus der Ferne ausnutzbar.

    Separate Pixel-Updates
    Die Sicherheitslücken-Einstufungen im Pixel Security Bulletin für März reichen von "Moderate" bis "High". Modellabhängig und nur dann, wenn Android 11 auf ihnen läuft, erhalten Googles Geräte zusätzlich zu den Lücken- noch Bug-Fixes sowie funktionale Updates. Ein Eintrag im Pixel Community Forum bietet eine Übersicht über die Neuerungen.

    Alle Pixel-spezifischen Aktualisierungen werden zusammen mit den regulären Android-Patches (Level 2021-03-05) automatisch an unterstützte Pixel-Geräte verteilt. Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code in ihre eigenen Updates zu integrieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

    Quelle: Android-Patchday: Kritische Remote-Sicherheitslücke aus Betriebssystem beseitigt | heise online