Alert!

Patchday: Android unter anderem gegen Remote Code Execution abgesichert

Die neuesten Sicherheitsupdates für Googles mobiles Betriebssystem Android fixen neben vier kritischen Lücken noch zahlreiche weitere Sicherheitsprobleme.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 27 Beiträge

(Bild: Arthur_Shevtsov/Shutterstock.com)

Von
  • Olivia von Westernhagen

Zum ersten Patchday im neuen Jahr hat Google zahlreiche Sicherheitslücken aus den Android-Versionen 8.0, 8.1, 9, 10 und 11 beseitigt. Vier von ihnen gelten als kritisch und hätten von Angreifern unter anderem missbraucht werden können, um Denial-of-Service-Angriffe durchzuführen oder aus der Ferne Code auf verwundbaren Geräten zur Ausführung zu bringen (Remote Code Execution). Mit einer "Moderate"-Ausnahme geht von den übrigen Lücken ein hohes Risiko aus.

Das Android Security Bulletin für Januar 2021 unterscheidet zwei Patch-Level, deren Einspielen entweder einen Teil der Sicherheitslücken (Level 2021-01-01) oder auch alle Lücken (Level 2021-01-05) behebt. Herstellern von Android-Geräten soll diese Vorgehensweise laut Google mehr Flexibilität beim Patchen ermöglichen.

Die nach Googles Einschätzung gefährlichste der geschlossenen Sicherheitslücken, CVE-2021-0316, steckt direkt im Betriebssystem-Code (Abschnitt "System" im Bulletin). Sie ermöglicht Angreifern Remote Code Execution im Kontext eines privilegierten Prozesses. Zur Angriffsdurchführung deutet Google lediglich an, dass die Übertragung speziell präparierter Daten nötig sei.

CVE-2021-0316 wird,ebenso wie die kritische Lücke CVE-2021-0313 (Denial-of-Service) im Android-Framework, durch das Anheben des Patch-Levels auf 2021-01-01 beseitigt. Zum Eliminieren zweier weiterer Sicherheitslücken mit "Critical"-Einstufung in Closed-Source-Komponenten von Qualcomm – CVE-2020-11134 und CVE-2020-11182 – ist hingegen Level 2021-01-05 nötig.

Lesen Sie auch

Wie gewohnt ist zusätzlich ein separates Januar-Bulletin mit Updates für Googles Pixel-Geräte erschienen. Es umfasst vier weitere Security-Fixes, die zusammen mit allen übrigen Patches automatisch an unterstützte Pixel-Geräte verteilt werden. Hinzu kommen mehrere funktionale Patches aus den Bereichen Audio, Grafik, Sensoren und Telefonie. Details dazu nennt ein Beitrag im Pixel-Support-Forum.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Andere Hersteller ("Android-Partner") wurden laut Google wie üblich mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt und hatten somit ausreichend Zeit, den Code zu implementieren. Der Source Code für die Patches ist im Android Open Source Project (AOSP) verfügbar.

(ovw)