Foto: P_galasso2289 - shutterstock.com
Mit dem Android Security Bulletin für Juli dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Auch das separate Pixel-Bulletin für Googles Geräteportfolio ist erschienen. Turnusmäßig sollten beide Bulletins am ersten Montag jedes Monats erscheinen. Das hat in diesem Jahr jedoch nur selten geklappt. Diesmal könnte der US-Nationalfeiertag am 4. Juli der Grund gewesen sein.
Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-07-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-07-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert.
Patch Level 2023-07-01 mit einer 0-Day-Lücke
Für das Patch Level 2023-07-01 weist das Security Bulletin im Juli 23 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Eine Schwachstelle (CVE-2023-21250) ist als kritisch eingestuft. Alle anderen Lücken sind als hohes Risiko ausgewiesen. Die RCE-Lücke (remote code execution) CVE-2023-2136 wird laut Google bereits für Angriffe genutzt. Sie betrifft lediglich Android 13.
Über Google Play werden im Rahmen des Project Mainline ausgewählte Patches auch an Geräte ausgeliefert, deren Hersteller keine Sicherheits-Updates bereitstellen. Im Juli betrifft das die WLAN-Lücken CVE-2023-20910, CVE-2023-21240 und CVE-2023-21243.
Patch Level 2023-07-05 mit zwei 0-Day-Lücken
Für das Hardware-nahe Patch Level 2023-07-05 führt das Juni-Bulletin insgesamt 20 Lücken auf. Eine Schwachstelle ist als kritisch, eine als moderat, alle anderen als hohes Risiko einstuft. Der Chipzulieferer ARM (Mali-GPUs) hat vier Lücken gestopft, darunter mit CVE-2021-29256 und CVE-2023-26083 zwei, die bereits für Angriffe ausgenutzt werden. Die als kritisch ausgewiesene Sicherheitslücke steckt in Qualcomm-Chips (Snapdragon und andere Komponenten).
Das Pixel-Bulletin
Google hat auch das separate Pixel-Bulletin veröffentlicht. In seinen Pixel-Geräten, darunter nun auch das Pixel Tablet und das Pixel Fold, hat Google 14 Lücken geschlossen. Zwei sind als kritisch eingestuft, zwei weitere als hohes Risiko, der Rest als mittleres Risiko. Außerdem hat Google Verbesserungen beim Laden, beim Stromverbrauch und bei der Wärmeentwicklung eingepflegt. Updates erhalten die Modelle Pixel 4a und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt. Das Pixel 4a erhält im August das letzte Update, das Pixel 5 im Oktober und das Pixel 4a 5G im November.
Informationen zu Geräte-Updates nach Hersteller:
Samsung hat bereits Anfang der Woche mit der Auslieferung der Juli-Updates für Galaxy S23, S22 und A52 begonnen, die jedoch gestaffelt nach Weltregion erfolgt. Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt)