Alert!

Patchday: Kritische System-Sicherheitslücke bedroht mehrere Android-Versionen

Angreifer könnten Smartphones und Tablets mit Android attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates schaffen Abhilfe.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 39 Beiträge
Von
  • Dennis Schirrmacher

Die Android-Versionen 8.1, 9, 10 und 11 sind verwundbar. Am Patchday im Oktober hat Google eine Reihe von Sicherheitslücken geschlossen. Der Großteil ist mit dem Bedrohungsgrad „hoch“ eingestuft.

In einer Warnmeldung hebt Google eine als „kritisch“ eingestufte System-Sicherheitslücke (CVE-2021-0870) besonders hervor. Entfernte Angreifer sollen im Zuge einer speziell präparierten Übertragung Schadcode im Kontext eines privilegierten Prozesses ausführen können.

Zwei weitere „kritische“ Schwachstellen (CVE-2021-11264, CVE-2021-11301) betreffen WLAN-Komponenten von Qualcomm. Weitere Details zu möglichen Attacken und Auswirkungen sind derzeit nicht bekannt. In den aktuellen Android-Versionen wurden noch weitere Lücken in verschiedenen Qualcomm-Komponenten geschlossen.

Neben dem System könnten in Android noch Schwachstellen in etwa Kernel-Komponenten und dem Media Framework als Einfallstor für Angreifer dienen. Nach erfolgreichen Attacken könnten sie auf eigentlich abgeschottete Daten zugreifen oder sich höhere Nutzerrechte erschleichen.

Wer ein Android-Gerät besitzt, sollten in den Einstellungen das Security Patch Level prüfen. Steht dort 2021-10-01 oder 2021-10-05 sind die aktuellen Sicherheitspatches installiert. Neben Google liefern unter anderem auch LG und Samsung monatlich Updates für bestimmte Geräteserien aus (siehe Kasten rechts). Außerdem ist der Sourcecode der Patches im Repository des Android Open Source Project (AOSP) verfügbar.

Geräte von Googles Pixel-Serie haben diesen Monat einige Extra-Sicherheitsupdates bekommen. Von den 20 geschlossenen Lücken ist aber nur eine Schwachstelle (CVE-2021-0939) in Titan-M mit „hoch“ eingestuft.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)