Wie schon im April nutzt Google auch den Mai-Patchday, um eine Zero-Day-Lücke in Android zu schließen. In seinem Security Bulletin bestätigt das Unternehmen eine begrenzte und zielgerichtete Ausnutzung der Schwachstelle. Sie steckt im Android System und betrifft die Versionen Android 13 und 14.

Laut der Schwachstellendatenbank des US-NIST handelt es sich um einen Speicherfehler in der Komponente FreeType, die bei der Verarbeitung bestimmter Schriftdateien auftritt. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und ausführen.

Insgesamt bringt der Mai-Patchday Fixes für 47 Schwachstellen in Android 13, 14 und 15. Mit der Sicherheitspatch-Ebene 1. Mai werden 24 Löcher gestopft, die eine nicht autorisierte Ausweitung von Benutzerrechten, den Diebstahl vertraulicher Daten oder Denial-of-Service-Angriffe ermöglichen. Vier Patches verteilt Google außerdem als System-Update über Google Play auch an Geräte mit älteren Android-Versionen.

Die restlichen Korrekturen gehören zur Sicherheitspatch-Ebene 5. Mai, die die meisten Geräte von Drittanbietern wie Samsung oder Xiaomi erst mit dem Juni-Patchday erreichen werden. Sie schließen Lücke im Kernel sowie in Komponenten von Imagination Technologies, ARM, MediaTek und Qualcomm. Von allen Anfälligkeiten geht maximal ein hohes Risiko aus.

Die Verteilung der Updates erfolgt Over-the-Air. Pixel-Geräte von Google sollten die Patches in den kommenden Tagen erhalten. Googles Android-Partner, denen seit mindestens 30 Tagen alle Patches bekannt sind, stopfen die Löcher mit eigenen Updates in der Regel in den kommenden Wochen.