Categories: Sicherheit

Android-Patchday: Google schließt zwei Zero-Day-Lücken

Google hat das Android Security Bulletin für Oktober 2023 veröffentlicht. Darin listet das Unternehmen 53 Sicherheitslücken, die erstmals auf drei Sicherheitspatch-Ebenen verteilt geschlossen werden. Darunter sind auch zwei Zero-Day-Lücken, die laut Google in begrenztem Umfang für zielgerichtete Angriffe benutzt werden.

Bei der ersten Zero-Day-Lücke handelt es sich um den bereits bekannten Bug in der Bibliothek Libwebp, mit der Bilder im Grafikformat WebP codiert und decodiert werden. Ursprünglich war angenommen, dass es sich um einen spezifischen Fehler des Google-Browsers Chrome handelt. Inzwischen ist klar, dass jegliche Anwendung, die das Grafikformat WebP unterstützen betroffen sind.

Angreifer können die Lücke nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen. Google stopft das Loch in Android nun mit der zusätzlichen Sicherheitspatch-Ebene 6. Oktober 2023. Vor allem Geräte von Anbietern wie Samsung, Xiaomi, Motorola und anderen OEMs werden den Patch somit wahrscheinlich erst mit den November-Updates der jeweiligen Hersteller erhalten.

Die zweite Zero-Day-Lücke meldet ARM. Betroffen sind von ARM entwickelte Mali-Grafikprozessoren beziehungsweise deren GPU-Treiber. Von der Anfälligkeit soll ein hohes Risiko ausgehen. Laut ARM soll der Patch nicht autorisierte Speicherzugriffe verhindern.

Mit der Sicherheitspatch-Ebene 1. Oktober verteilt Google 27 Fixes für das Android Framework und das Android System. Darunter ist auch eine kritische Schwachstelle, die eine Remotecodeausführung erlaubt. Betroffen sind alle unterstützten OS-Versionen von Android 11 bis Android 13.

Die Sicherheitspatch-Ebene 5. Oktober deckt Komponenten von ARM (Mali-GPU), MediaTek (Display, WLAN), Unisoc und Qualcomm (Kernel, Audio) ab. Qualcomm bewertet drei Anfälligkeiten als kritisch, nennt jedoch keine Details, da es sich um Closed-Source-Komponenten handelt.

Neben Google hat auch Samsung Details zu seinem Oktober-Patchday veröffentlicht. Das koreanische Unternehmen stopft 40 Löcher, darunter zwei kritische Schwachstellen. Smartphones und Tablets von Samsung erreichen mit den aktuellen Updates die Sicherheitspatch-Ebene 1. Oktober 2023 – beide von Google gemeldeten Zero-Day-Lücken sind somit nicht in den Samsung-Patches enthalten.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago