Mit dem Android Security Bulletin für Mai dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten (AOSP, Android Open Source Project) beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller.
Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-05-01, enthält die geschlossenen AOSP-Lücken. Im Patch Level 2023-05-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen dokumentiert.
Für das Patch Level 2023-05-01 weist das Security Bulletin im Mai 16 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Alle bis auf eine sind als hohes Risiko eingestuft. Meist können Angreifer, die diese Lücken nutzen, höhere Berechtigungen erlangen. Mehrere Schwachstellen können auch das Offenlegen vertraulicher Informationen ermöglichen. Zwei dieser Lücken (CVE-2021-39617, CVE-2023-20914) werden auch über die Google Play Updates (Projekt Mainline) verteilt. Das bedeutet, sie gelangen auch auf Geräte, deren Hersteller keine Sicherheits-Updates bereitstellen. Sie betreffen die Kontrolle über Berechtigungen.
Die neuesten Sicherheits-Updates
Im Patch Level 2023-05-05 sind acht Lücken aus dem Linux-Kernel aufgeführt, von denen Google zwei als hohes Risiko einstuft. Zusammen mit den Patches der Chipzulieferer ARM (Mali-GPUs), Imagination Technologies (PowerVR-GPUs), MediaTek, Unisoc und Qualcomm (Snapdragon) summieren sich die gestopften Lücken auf 34. Auch hier finden sich im Mai keine als kritisch eingestuften Schwachstellen.
Im Gegensatz zu den Vormonaten hat Google im Mai auch die zusätzlichen Updates für seine Pixel-Geräte pünktlich ausgeliefert. Es sind diesmal auch nur zwei Lücken aufgeführt, die beide als mittleres Risko gelten. Eine betrifft das Kameramodul und dessen Software, die andere den Hardware Composer-Dienst. Updates erhalten die Modelle Pixel 4a und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt.
Informationen zu Geräte-Updates nach Hersteller:
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat sich zwar in den letzten Jahren erhöht, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt)