Am Patchday im Mai kümmert sich Google um mehrere Sicherheitslücken in Android 8.0, 8.1, 9 und 10. In den meisten Fällen könnten sich Angreifer höhere Nutzerrechte aneignen. Aber auch die Ausführung von Schadcode ist vorstellbar.

Der Großteil der Schwachstellen ist mit dem Angriffsrisiko "hoch" eingestuft. Eine Lücke (CVE-20200096) im Framework gilt als "kritisch". Hier könnte ein lokaler Angreifer durch das Ausführen einer präparierten Datei noch mehr Code mit den Rechten des Opfers ausführen. Eine weitere kritische Lücke (CVE-2020-0103) findet sich im System. Hier könnte ein entfernter Angreifer durch eine nicht näher beschrieben manipulierte Übertragung Schadcode im Kontext eines privilegierten Prozesses ausführen.

Weitere Sicherheitslücken finden sich einer Warnmeldung von Google zufolge im Media Framework, in Kernel-, Qualcomm- und MediaTek-Komponenten und dem System. Googles Pixel-Serie bekommt noch zusätzliche Sicherheitsupdates spendiert. Der Bedrohungsgrad gilt hier als "moderat". Der Support für die Modelle Pixel und Pixel XL ist im Oktober 2019 ausgelaufen und die Geräte bekommen seitdem keine Sicherheitsupdates mehr. Im Oktober 2020 verlieren Pixel 2 und Pixel 2 XL den Supportanspruch.

Patches auch von anderen Herstellern

Wie man im Kasten auf der rechten Seite dieser Meldung sehen kann, bieten neben Google noch mehrere Hersteller wie LG und Samsung monatliche Sicherheitsupdates für einige Android-Modelle an.

Google gibt an, Partner einen Monat vor der Veröffentlichung von Details über Lücken informiert zu haben. Die Patches sind auch im Android Open Source Project (AOSP) implementiert. Wer Android nutzt, sollte sicherstellen, dass Patchlevel 2020-05-01 installiert zu haben. Alternativ gibt es noch das Patchlevel 2020-05-05. Dieses Paket enthält neben den aktuellen Sicherheitsupdates auch alle vorigen. (des)