Google hat das Android Security Bulletin für August veröffentlicht. Es listet 47 Schwachstellen, darunter eine Zero-Day-Lücke. Sie wird allerdings mit der Sicherheitspatch-Ebene 5. August beseitigt – die August-Updates von Googles Android-Partnern decken in der Regel lediglich die Sicherheitspatch-Ebene 1. August ab, sodass viele Nutzer einen Fix frühestens im September erhalten werden.
Mit der Sicherheitspatch-Ebene 1. August stopft Google 14 Löcher im Android Framework und im Android System. Sie betreffen die OS-Versionen 12, 12L, 13 und 14 und ermöglichen eine nicht autorisierte Ausweitung von Benutzerrechten oder den Diebstahl von vertraulichen Informationen. Eine Anfälligkeit erlaubt zudem Denial-of-Service-Angriffe.
Die Zero-Day-Lücke, von der ebenfalls ein hohes Risiko ausgeht, steckt im Android-Kernel. Angreifer können unter Umständen Schadcode aus der Ferne einschleusen und ausführen. Allerdings werden dafür Google zufolge System-Rechte benötigt. Zudem bringt die Sicherheitspatch-Ebene 5. August Fixes für Lücken in Hardware-Komponenten von ARM, Imagination Technologies, MediaTek und Qualcomm. Ein von Qualcomm bereitgestellter Fix soll eine kritische Lücke stopfen. Da es sich um eine Closed-Source-Komponente handelt, macht Qualcomm keine näheren Angaben zur anfälligen Komponente oder der Art der Schwachstelle.
Googles Android-Partner wurden bereits vor mindestens 30 Tagen über die August-Patches informiert. Samsung ist wie immer der erste Anbieter von Android-Geräten, der Details zu seinen eigenen Patches nennt. Das koreanische Unternehmen nennt in seinem Bulletin 53 Anfälligkeiten, darunter Lücken, die Google bereits mit der Sicherheitspatch-Ebene 5. Juli geschlossen hat.
Unabhängig vom Gerätehersteller erfolgt die Verteilung von Sicherheitspatches für Android-Smartphones und Tablets Over-the-Air. Verfügbare Updates sollten zeitnah installiert werden. Je nach Hersteller beziehungsweise Gerät kann es allerdings auch noch mehrere Wochen dauern, bis die August-Patches zum Download angeboten werden.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…