Google hat vier kritische Sicherheitslücken in Android geschlossen. Angreifer können unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein Android-Gerät zu übernehmen. Bei mindestens einer Anfälligkeit ist laut Google eine Interaktion mit einem Nutzer nicht erforderlich. Betroffen sind alle unterstützten OS-Versionen: Android 11, 12, 12L und 13.
Die vier kritischen Lücken stecken in Android System sowie in Closed-Source-Komponenten von Qualcomm. Allerdings werden nur drei dieser Anfälligkeiten mit der Sicherheitspatch-Ebene 1. September beseitigt: Viele Nutzer werden den vierten Fix erst mit den Oktober-Updates erhalten, weil die meisten Google-Partner mit ihren September-Updates die Sicherheitspatch-Ebene 5. September nicht erreichen.
Zero-Day-Lücke wird ausgenutzt
Eine zeitnahe Installation der September-Patches ist auch ratsam, weil Google außerdem eine Zero-Day-Lücke beseitigt. Sie wird laut Google bereits für zielgerichtete Angriffe eingesetzt. Die Schwachstelle mit der Kennung CVE-2023-35674 steckt im Android Framework und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Auch hiervon sind Android 11, 12, 12L und 13 betroffen.
Insgesamt liefert der September-Patchday Korrekturen für 35 Schwachstellen. Außer dem Android System und Android Framework werden auch der MediaProvider der Google-Play-Dienste und Komponenten von Qualcomm mit Updates versorgt. Dazu kommen in der Regel noch Updates für die Pixel-Geräte, zu denen Google aber noch keine Angaben gemacht hat.
Alle Fehlerkorrekturen liegen Googles Android-Partnern mindestens seit 30 Tagen vor. Zudem wurde der Quellcode der Patches bereits an das Android Open Source Project übermittelt. Die Verteilung der Updates erfolgt, von Google und allen Geräte-Herstellern, Over-the-Air.
Neueste Kommentare
Noch keine Kommentare zu Google schließt vier kritische Lücken in Android
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.