Noch kein Pixel-Bulletin

Google schließt Sicherheitslücken in Android 11 bis 13

09.06.2023
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Google hat für Android 11 bis 13 das Security Bulletin für Juni veröffentlicht. Darin sind die in dem Mobilsystem beseitigten Schwachstellen aufgeführt. Die Pixel-Updates verspäten sich mal wieder.
Google hat wieder zahlreiche Sicherheitslücken in Android geschlossen - jetzt sind die Hersteller gefordert.
Google hat wieder zahlreiche Sicherheitslücken in Android geschlossen - jetzt sind die Hersteller gefordert.
Foto: Primakov - shutterstock.com

Mit dem Android Security Bulletin für Juni dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten (AOSP, Android Open Source Project) beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller.

Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-06-01, enthält die geschlossenen AOSP-Lücken. Im Patch Level 2023-06-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert.

Patch Level 2023-06-01 mit drei kritischen Lücken

Für das Patch Level 2023-06-01 weist das Security Bulletin im Juni 23 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Drei Schwachstellen sind als kritisch eingestuft. Alle anderen Lücken sind als hohes Risiko ausgewiesen. Bei den kritischen Schwachstellen handelt es sich um RCE-Lücken (remote code execution). Angreifer könnten aus der Ferne Code einschleusen und ausführen.

Die neuesten Sicherheits-Updates

Die Framework-Lücke CVE-2023-21127 betrifft Android 11 bis 13 und kann ohne besondere Ausführungsberechtigungen ausgenutzt werden. Allerdings ist die Mithilfe des Benutzers nötig. Diese kann etwa im Antippen eines Links bestehen. Auch die System-Lücke CVE-2023-21108 betrifft alle unterstützten Android-Versionen. Sie kann über Bluetooth ohne Benutzerhilfe ausgenutzt werden, sofern das Bluetooth-Profil HFP (Hands-free-Profile, für Freisprecheinrichtungen) aktiviert ist. Für CVE-2023-21130 ist hingegen nur Android 13 anfällig.

Patch Level 2023-06-05 mit 0-Day-Lücke

Für das Hardware-nahe Patch Level 2023-06-05 führt das Juni-Bulletin insgesamt 33 Lücken auf. Zwei Schwachstellen sind als kritisch, alle anderen als hohes Risiko einstuft. Der Chipzulieferer ARM (Mali-GPUs) hat drei Lücken gestopft, darunter mit CVE-2022-22706 eine, die bereits seit einiger Zeit für Angriffe ausgenutzt wird. Die beiden als kritisch ausgewiesenen Sicherheitslücken stecken in Qualcomm-Chips (Snapdragon und andere).

Noch kein Pixel-Bulletin

Wie schon in den Wintermonaten hat Google im Juni die zusätzlichen Updates für seine Pixel-Geräte noch nicht ausgeliefert. Auch das separate Pixel-Bulletin ist noch nicht erschienen. Updates erhalten die Modelle Pixel 4a und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt.

Informationen zu Geräte-Updates nach Hersteller:

Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat sich zwar in den letzten Jahren erhöht, jedoch ist noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt)