Android

Google schließt über 90 Sicherheitslücken

07.12.2023
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Google hat das Security Bulletin für Dezember für Android 11 bis 14 veröffentlicht. Darin sind insgesamt 94 in dem Mobilsystem beseitigte Schwachstellen aufgeführt. Darunter sind fünf kritische Lücken sowie drei 0-Day-Lücken.
Google schließt bei Android wieder etliche Security-Lücken.
Google schließt bei Android wieder etliche Security-Lücken.

Mit dem Android Security Bulletin für Dezember dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Letztere stopfen in diesem Monat auch drei 0-Day-Lücken.

Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2023-12-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-12-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen.

Patch Level 2023-12-01 mit drei kritischen Lücken

Für das Patch Level 2023-12-01 weist das Security Bulletin im Dezember 33 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Zwei Schwachstellen im Framework und eine im System sind als kritisch eingestuft. Die System-Lücke CVE-2023-40088 erlaubt es, ohne Mithilfe des Benutzers Code einzuschleusen und auszuführen. Sie betrifft die Android-Versionen 11 bis 14. Alle anderen Sicherheitslücken in diesem Patch Level sind als hohes Risiko ausgewiesen.

Patch Level 2023-12-05 mit drei 0-Day-Lücken

Für das Hardware-nahe Patch Level 2023-12-05 führt das Dezember-Bulletin 61 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPUs), Imagination Technologies (PowerVR-GPUs), Unisoc, MediaTek und Qualcomm. Die meisten Schwachstellen sind als hohes Risiko ausgewiesen. Hinzu kommt eine als kritisch ausgewiesene System-Lücke (CVE-2023-45866).

In Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten) steckt mit CVE-2022-40507 eine als kritisch einstufte Lücke. Drei weitere Schwachstellen (CVE-2023-33063, CVE-2023-33106, CVE-2023-33107), die wie der Rest als hohes Risiko ausgewiesen sind, werden laut Google bereits für Angriffe ausgenutzt. Details sind dazu bislang nicht bekannt.

Noch kein Pixel Update Bulletin

Das separate Bulletin für Googles Pixel-Geräte lässt in diesem Monat wieder einmal auf sich warten. Updates erhalten die Modelle Pixel 5a (5G) und neuer. Das Pixel 5 hat im Oktober zum letzten Mal Updates erhalten, das Pixel 4a 5G im November. Das Pixel 5a (5G) bekommt noch bis August 2024 Updates. Für neuere Modelle liefert Google fünf oder gar sieben Jahre lang Sicherheits-Updates.

Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt)