Alert!

Android-Patchday: Google bessert unter anderem beim Media Framework nach

Updates für das mobile Betriebssystem zielen wieder einmal auf das Media Framework, beseitigen aber etwa auch kritische Lücken aus Qualcomm-Komponenten.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 14 Beiträge

(Bild: heise online (Collage))

Von
  • Olivia von Westernhagen

Im Zuge des monatlichen Patchdays hat Google sein mobiles Betriebssystem Android (Versionen 8.1, 9, 10 & 11) gegen zahlreiche Angriffsmöglichkeiten abgesichert. Ob das eigene Gerät die Sicherheitsupdates erhalten hat, lässt sich anhand des Patch-Levels im Bereich "Einstellungen" prüfen: 2021-08-01 deckt einen Teil und 2021-08-05 sämtliche Patches von August ab.

Wie schon häufiger in der Vergangenheit steckt die nach Googles Einschätzung gefährlichste Sicherheitslücke, CVE-2021-0519 mit "High"-Einstufung, in der Media-Framework-Komponente des Betriebssystems.

Laut Googles Beschreibung im Android Security Bulletin für August könnte eine lokal installierte schädliche Anwendung die Lücke missbrauchen, um Sandbox-Mechanismen des Betriebssystems zu umgehen, die Zugriffe auf andere Anwendungen und deren Daten verhindern sollen. Auf diesem Wege seien eine Rechteausweitung in Android 8.1 und 9 beziehungsweise der Zugriff auf sensible Informationen in den Versionen 10 und 11 möglich. Patch-Level 2021-08-01 schließt die Lücke.

Patch-Level 2021-08-05 wiederum nimmt sich auch fünf Sicherheitslücken an, die als kritisch gelten. Sie betreffen diverse Qualcomm-Komponenten und werden von Qualcomm in eigenen, im Android Security Bulletin verlinkten Advisories näher beschrieben.

Wie jeden Monat hat Google auch im August wieder ein separates Bulletin zu Zusatz-Patches für Pixel-Smartphones veröffentlicht. Diesmal führt das Pixel Update Bulletin für August 2021 aber lediglich drei Sicherheitslücken mit "Moderate"-Einstufung auf.

Alle Pixel-spezifischen Aktualisierungen werden zusammen mit den regulären Android-Patches automatisch an unterstützte Pixel-Geräte verteilt. Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code in ihre eigenen Updates zu integrieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(ovw)