Google schließt Zero-Day-Lücke in Android

Google hat das Android Security Bulletin für September veröffentlicht. Es listet insgesamt 37 Anfälligkeiten. Darunter sind zwei kritische Anfälligkeiten – und eine Zero-Day-Lücke, die nach Angaben des Unternehmens bereits bei zielgerichteten Angriffen ausgenutzt wird.

Der Fix für die Zero-Day-Lücke ist in der Sicherheitspatch-Ebene 1. September enthalten. Es handelt sich um einen Fehler, der eine nicht autorisierte Ausweitung von Benutzerrechten erlaubt und im Android Framework steckt. Betroffen sind Android 12, 12L, 13 und 14. Außerdem stopft Google Löcher im Android System.

Mit der Sicherheitspatch-Ebene 5. September werden Korrekturen für Bugs im Kernel sowie Komponenten von ARM, Imagination, Unisoc und Qualcomm verteilt. In WLAN-Komponenten von Qualcomm stecken die beiden kritischen Lücken.

Weitere acht Schwachstellen beseitigt Google in seinen Pixel-Geräten. Auch hier soll vor allem verhindert werden, dass Unbefugte höhere Rechte als die des aktuellen Benutzer erlangen.

Wie immer wurden Googles Android-Partner bereits vor mindestens einem Monat über die Details zu den Schwachstellen informiert. In Kürze soll zudem der Quellcode der Patches dem Android Open Source Project zur Verfügung stehen. Andere Gerätehersteller werden ihre Patches in den kommenden Tagen und Wochen bereitstellen.

Samsung informiert in seiner Sicherheitswarnung für September über 62 Schwachstellen, darunter Lücken der Sicherheitspatch-Ebene 5. August. Der Samsung-Patchday enthält auch Fixes für 18 Anfälligkeiten in Samsungs eigener Software. Auch hier sind Android 12, 13 und 14 betroffen.