Google schließt vier kritische Lücken in Android

Google hat vier kritische Sicherheitslücken in Android geschlossen. Angreifer können unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein Android-Gerät zu übernehmen. Bei mindestens einer Anfälligkeit ist laut Google eine Interaktion mit einem Nutzer nicht erforderlich. Betroffen sind alle unterstützten OS-Versionen: Android 11, 12, 12L und 13.

Die vier kritischen Lücken stecken in Android System sowie in Closed-Source-Komponenten von Qualcomm. Allerdings werden nur drei dieser Anfälligkeiten mit der Sicherheitspatch-Ebene 1. September beseitigt: Viele Nutzer werden den vierten Fix erst mit den Oktober-Updates erhalten, weil die meisten Google-Partner mit ihren September-Updates die Sicherheitspatch-Ebene 5. September nicht erreichen.

Zero-Day-Lücke wird ausgenutzt

Eine zeitnahe Installation der September-Patches ist auch ratsam, weil Google außerdem eine Zero-Day-Lücke beseitigt. Sie wird laut Google bereits für zielgerichtete Angriffe eingesetzt. Die Schwachstelle mit der Kennung CVE-2023-35674 steckt im Android Framework und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Auch hiervon sind Android 11, 12, 12L und 13 betroffen.

Insgesamt liefert der September-Patchday Korrekturen für 35 Schwachstellen. Außer dem Android System und Android Framework werden auch der MediaProvider der Google-Play-Dienste und Komponenten von Qualcomm mit Updates versorgt. Dazu kommen in der Regel noch Updates für die Pixel-Geräte, zu denen Google aber noch keine Angaben gemacht hat.

Alle Fehlerkorrekturen liegen Googles Android-Partnern mindestens seit 30 Tagen vor. Zudem wurde der Quellcode der Patches bereits an das Android Open Source Project übermittelt. Die Verteilung der Updates erfolgt, von Google und allen Geräte-Herstellern, Over-the-Air.