Patchday: Google schließt kritische Remote-Lücken in Android
Mit dem neuen Security-Patch-Level verschwinden unter anderem vier aus der Ferne ausnutzbare Sicherheitslücken aus Android.
(Bild: Arthur_Shevtsov/Shutterstock.com)
- Olivia von Westernhagen
Wie jeden Monat hat Google auch im Juni eine ganze Reihe von Sicherheitslücken im Android-Betriebssystem geschlossen. Ein Patchlevel ab 2020-06-05 aufwärts verrät, dass das System auf dem neuesten Stand ist. Mit 2020-06-01 wurden zumindest einige Lücken geschlossen.
Zeitgleich mit dem Android Security Bulletin für Juni 2020 ist ein separates Bulletin für Pixel-Geräte erschienen. Alle "unterstützten Google-Geräte" bekommen demnach automatisch ein Update angeboten, dass neben den regulären noch weitere Sicherheits- sowie funktionale Updates umfasst. Details zu diesen größtenteils mit "Moderate"-Einstufung versehenen Zusatz-Updates sind dem Pixel-Bulletin zu entnehmen.
Der Support für die Modelle Pixel und Pixel XL ist im Oktober 2019 ausgelaufen und die Geräte bekommen seitdem keine Sicherheitsupdates mehr. Im Oktober 2020 verlieren Pixel 2 und Pixel 2 XL den Supportanspruch.
Vier RCE-Lücken mit "Critical"-Einstufung gefixt
Das Android Security Bulletin führt ingesamt vier kritische Lücken auf – zwei in Komponenten des Betriebssystems (CVE-2020-0117, CVE-2020-8597), zwei weitere in Closed-Source-Qualcomm-Komponenten (CVE-2019-14073, CVE-2019-14080).
CVE-2020-0117 und CVE-2020-8597 sind aus der Ferne ausnutzbar (Remote Code Execution, RCE) und betreffen Android-Versionen ab 8.0 bis einschließlich der aktuellen Version 10. Google schreibt im Bulletin, dass ein Angreifer die schwerere der RCE-Lücken missbrauchen könnte, um beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Auf welche der beiden Lücken sich diese Beschreibung bezieht, ist unklar.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Bei CVE-2020-0117 handelt es sich wohl um einen Bug in der Android-Implementierung des AES-128-CMAC -Algorithmus, durch den ein stackbasierter Pufferüberlauf hervorgerufen werden könnte. CVE-2020-8597 wiederum ist in der National Vulnerability Database (NVD) ein CVSS-Score von 9.8 zugeordnet. Die Lücke betrifft den Point-To-Point-Dienst (PPP) und kann ohne Authentfizierung ausgenutzt werden. Aktualisierte Pakete für diverse Linux-Distributionen, die ebenfalls von ihr betroffen waren, gibt es schon seit Jahresanfang; Details hierzu führt der NVD-Eintrag zur Lücke auf.
Den kritischen Lücken CVE-2019-14073 und CVE-2019-14080 widmet sich ein separates Advisory von Qualcomm. Es enthält eine wichtige Information, die in Googles Bulletin fehlt: Auch diese Lücken sind aus der Ferne ausnutzbar. Details dazu nennt Qualcomm nicht, dafür aber die jeweils betroffenen Chipsätze. (ovw)