Alert!

Patchday: Google schließt Kernel- und Software-Lücken in Android

Besitzer von Android-Hardware sollte ihre Geräte aus Sicherheitsgründen auf den aktuellen Stand bringen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge
Von
  • Dennis Schirrmacher

Die monatlichen Sammel-Patches schließen mehrere unter anderem als „kritisch“ eingestufte Sicherheitslücken in Android 10, 11, 12 und 12L. Sind Attacken erfolgreich, könnten Angreifer im schlimmsten Fall Schadcode ausführen und die volle Kontrolle über Smartphones und Tablets erlangen.

In einer Warnmeldung stuft Google eine System-Lücke (CVE-2022-20127 „kritisch“) als am gefährlichsten ein. Wie eine Attacke im Detail aussehen könnten, geht aus dem Beitrag nicht hervor. Das Platzieren von Schadcode soll aber ohne weitere Ausführungsrechte möglich sein.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Setzen Angreifer an weiteren Schwachstellen im System an, können sie sich größtenteils höhere Nutzerrechte verschaffen. Diese Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Weitere Schwachstellen finden sich im Framework und Media Framework. Die Lücke im Media Framework (CVE-2022-20130) gilt als „kritisch“ und könnten Schadcode auf Geräte durchlassen. Diese Sicherheitslücken sind mit dem Patch Level 2022-06-01 geschlossen.

Wer ein Android-Gerät besitzt, sollte in den Einstellungen sicherstellen, dass das mobile Betriebssystem auf dem aktuellen Stand ist. Neben Google veröffentlichen auch LG und Samsung monatlich Sicherheitsupdates (siehe Kasten rechts). Das passiert aber leider nur für ausgewählte Geräte.

Das Patch Level 2022-06-05 bringt noch mehr Sicherheitspatches für Kernel-, Qualcomm-, MediaTek- und Unisoc-Komponenten mit. In einem Beitrag listet Google noch weitere Sicherheitsupdates für hauseigene Pixel-Geräte auf. Der Großteil der Lücken ist mit „moderat“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer mit erhöhten Nutzerrechten dastehen oder auf eigentlich abgeschottete Informationen zugreifen.

Seit Mai 2022 ist der Support für Pixel 3a und Pixel 3a XL ausgelaufen. Diese Geräte bekommen keine Sicherheitsupdates mehr. Im Oktober 2022 ist das für Pixel 4 und Pixel 4 XL der Fall.

(des)