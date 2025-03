Google hat die März-Patches für Android freigegeben. Die Entwickler beseitigen zwei Zero-Day-Lücken in dem Mobilbetriebssystem. Sie erlauben den Diebstahl von vertraulichen Daten sowie eine nicht autorisierte Ausweitung von Benutzerrechten. Betroffen sind Android 12, 12L, 13, 14, und 15.

Die erste Zero-Day-Lücke steckt im Android Framework. Das von ihr ausgehende Risiko stuft Google als hoch ein. Angreifbar ist die Documents UI. Google spricht im März-Bulletin von einer begrenzten und zielgerichteten Ausnutzung beider Schwachstellen. Einen Fix erhalten Nutzer mit der Sicherheitspatch-Ebene 1. März. Außerdem wird die Korrektur für diese Lücke als Google Play System-Update verteilt.

Der Patch für die zweite Zero-Day-Lücke ist Teil der Sicherheitspatch-Ebene 5. März. Sie wird als Anfälligkeit im Upstream Kernel beziehungsweise der Subkomponente HID beschreiben. Diese Lücke werden die meisten Android-Gerätehersteller also erst im April stopfen, da sie in der Regel lediglich die erste Sicherheitspatch-Ebene in ihre eigenen Updates integrieren.

Insgesamt bringt der März Patches für 45 Sicherheitslücken. Außer Kernel und Framework sind auch das Android System sowie Komponenten von MediaTek und Qualcomm angreifbar. Der höchste Schweregrad „kritisch“ wurde zudem für zehn Schwachstellen in Android System vergeben, die vor allem das Einschleusen und Ausführen von Schadcode aus der Ferne erlauben – aber auch Denial-of-Service-Attacken auf alle unterstützen Android-Versionen.

Googles Android-Partner wurde bereits vor mindestens 30 Tagen über die Fehler in dem Betriebssystem informiert. Die Code-Änderungen stehen zudem dem Android Open Source Project (AOSP) zur Verfügung. Unterstützte Geräte erhalten die Updates in der Regel Over-the-Air und in den kommenden Tagen und Wochen.