Security Bulletin Oktober

Google schließt zwei 0-Day-Lücken in Android

04.10.2023
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Google hat das Security Bulletin für Oktober für Android 11 bis 13 veröffentlicht. Darin sind insgesamt 51 in dem Mobilsystem beseitigte Schwachstellen aufgeführt. Darunter sind insgesamt vier kritische Lücken sowie zwei 0-Day-Lücken.
Google schließt neue Sicherheitslücke in Android 11 - 13.
Google schließt neue Sicherheitslücke in Android 11 - 13.
Foto: Primakov - shutterstock.com

Mit dem Android Security Bulletin für Oktober dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bugfixes der Chiphersteller.

Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei sogenannte Patch Level. Das erste, 2023-10-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-10-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Im Oktober ist noch ein drittes Patch Level hinzugekommen: 2023-10-06.

Patch Level 2023-10-01 mit einer kritischen Lücke

Für das Patch Level 2023-10-01 weist das Security Bulletin im Oktober 24 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Eine Schwachstelle in der Kategorie System (CVE-2023-40129) ist als kritisch eingestuft, da sie es erlaubt, Code einzuschleusen und auszuführen. Sie betrifft den Bluetooth-Stack (Fluoride). Alle anderen Sicherheitslücken sind als hohes Risiko ausgewiesen.

Patch Level 2023-10-05 mit drei kritischen Schwachstellen und einer 0-Day-Lücke

Für den Hardware-nahen Patch Level 2023-10-05 führt das Oktober-Bulletin 26 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPUs), Unisoc, MediaTek und Qualcomm. Alle fünf ARM-Lücken sind als hohes Risiko eingestuft. Für die Sicherheitslücke CVE-2023-4211 (Mali) gibt es laut ARM und Google Hinweise, dass diese bei begrenzten Angriffen ausgenutzt wird (0-Day-Lücke). Betroffen sind auch ältere Geräte, für die es keine Updates mehr gibt.

Drei Schwachstellen in MediaTek-Komponenten sowie eine in einer Unisoc-Komponente sind ebenfalls als hohes Risiko ausgewiesen. Alle weiteren Lücken stecken in Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten). Drei der Schwachstellen sind als kritisch einstuft, die übrigen als hohes Risiko.

Patch Level 2023-10-06 mit einer 0-Day-Lücke

Offenbar extra für die 0-Day-Lücke CVE-2023-4863 hat Google diesmal ein drittes Patch Level aufgemacht. Es handelt sich hierbei um die bereits bekannte Schwachstelle in der quelloffenen Programmbibliothek libwebp. Diese wurde zunächst in Googles Browser Chrome entdeckt, betrifft jedoch auch zahlreiche weitere Programme. Sie nutzen alle die libwebp-Bibliothek, um Bilder im WebP-Format zu verarbeiten.

Sparsames Pixel Update Bulletin

Das separate Bulletin für seine Pixel-Geräte besteht in diesem Monat lediglich aus einem Eintrag. Der betrifft die bereits erwähnte 0-Day-Lücke CVE-2023-4211 in Mail-GPUs. Updates erhalten die Modelle Pixel 5 und neuer. Für das Pixel 4, 4a und ältere Geräte hat Google die Update-Versorgung bereits eingestellt. Das Pixel 5 erhält im Oktober zum letzten Mal Updates, das Pixel 4a 5G im November. Heute soll die neue Betriebssystemversion Android 14 ("Upside Down Cake") erscheinen.

Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.

Informationen zu Geräte-Updates nach Hersteller:

(PC-Welt)