Google hat das Android Security Bulletin für April veröffentlicht. Den monatlichen Patchday nutzen die Entwickler, um zwei Zero-Day-Lücken zu schließen. Sie werden bereits für zielgerichtete Angriffe eingesetzt und stecken im Android-Kernel. Das von den beiden Schwachstellen ausgehende Risiko stuft Google als hoch ein.
Betroffen ist jeweils die Subkomponente USB. Eine der Zero-Day-Lücken erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten, die andere den Diebstahl vertraulicher Informationen. Die benötigten Fixes erhalten Android-Geräte allerdings erst mit der Sicherheitspatch-Ebene 5. April – sie ist bei den meisten Geräteherstellern erst in den Mai-Patches enthalten.
Insgesamt bringt der April-Patchday Korrekturen für 59 Anfälligkeiten. Darunter sind vier als kritisch eingestufte Schwachstellen. Sie lassen sich Google zufolge unter anderem aus der Ferne für eine Rechteausweitung ausnutzen. Eine Interaktion mit einem Nutzer soll nicht erforderlich sein. Betroffen sind Sicherheitslücken im Android Framework und im Android System unter Android 13, 14 und 15, die mit der Sicherheitspatch-Ebene 1. April behoben werden. Ein viertes kritisches Loch in Closed-Source-Komponenten von Qualcomm benötigt indes die Sicherheitspatch-Ebene 5. April
Seine Android-Partner informiert Google mit einem Vorlauf von mindestens 30 Tagen über die anstehenden Fixes. Zudem wird der neue Quellcode dem Android Open Source Project zur Verfügung gestellt. Die einzelnen Gerätehersteller geben ihre Patches in der Regel in den kommenden Tagen und Wochen zum Download frei. Die Verteilung erfolgt Over-the-Air.
Neueste Kommentare
Noch keine Kommentare zu Android-Patchday: Google schließt zwei aktiv ausgenutzte Zero-Day-Lücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.