Android-Patchday: Google schließt zwei Zero-Day-Lücken

Google hat das Android Security Bulletin für Oktober 2023 veröffentlicht. Darin listet das Unternehmen 53 Sicherheitslücken, die erstmals auf drei Sicherheitspatch-Ebenen verteilt geschlossen werden. Darunter sind auch zwei Zero-Day-Lücken, die laut Google in begrenztem Umfang für zielgerichtete Angriffe benutzt werden.

Bei der ersten Zero-Day-Lücke handelt es sich um den bereits bekannten Bug in der Bibliothek Libwebp, mit der Bilder im Grafikformat WebP codiert und decodiert werden. Ursprünglich war angenommen, dass es sich um einen spezifischen Fehler des Google-Browsers Chrome handelt. Inzwischen ist klar, dass jegliche Anwendung, die das Grafikformat WebP unterstützen betroffen sind.

Angreifer können die Lücke nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen. Google stopft das Loch in Android nun mit der zusätzlichen Sicherheitspatch-Ebene 6. Oktober 2023. Vor allem Geräte von Anbietern wie Samsung, Xiaomi, Motorola und anderen OEMs werden den Patch somit wahrscheinlich erst mit den November-Updates der jeweiligen Hersteller erhalten.

Die zweite Zero-Day-Lücke meldet ARM. Betroffen sind von ARM entwickelte Mali-Grafikprozessoren beziehungsweise deren GPU-Treiber. Von der Anfälligkeit soll ein hohes Risiko ausgehen. Laut ARM soll der Patch nicht autorisierte Speicherzugriffe verhindern.

Mit der Sicherheitspatch-Ebene 1. Oktober verteilt Google 27 Fixes für das Android Framework und das Android System. Darunter ist auch eine kritische Schwachstelle, die eine Remotecodeausführung erlaubt. Betroffen sind alle unterstützten OS-Versionen von Android 11 bis Android 13.

Die Sicherheitspatch-Ebene 5. Oktober deckt Komponenten von ARM (Mali-GPU), MediaTek (Display, WLAN), Unisoc und Qualcomm (Kernel, Audio) ab. Qualcomm bewertet drei Anfälligkeiten als kritisch, nennt jedoch keine Details, da es sich um Closed-Source-Komponenten handelt.

Neben Google hat auch Samsung Details zu seinem Oktober-Patchday veröffentlicht. Das koreanische Unternehmen stopft 40 Löcher, darunter zwei kritische Schwachstellen. Smartphones und Tablets von Samsung erreichen mit den aktuellen Updates die Sicherheitspatch-Ebene 1. Oktober 2023 – beide von Google gemeldeten Zero-Day-Lücken sind somit nicht in den Samsung-Patches enthalten.