Mit dem Android Security Bulletin für Juni dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten (AOSP, Android Open Source Project) beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller.
Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-06-01, enthält die geschlossenen AOSP-Lücken. Im Patch Level 2023-06-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert.
Patch Level 2023-06-01 mit drei kritischen Lücken
Für das Patch Level 2023-06-01 weist das Security Bulletin im Juni 23 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Drei Schwachstellen sind als kritisch eingestuft. Alle anderen Lücken sind als hohes Risiko ausgewiesen. Bei den kritischen Schwachstellen handelt es sich um RCE-Lücken (remote code execution). Angreifer könnten aus der Ferne Code einschleusen und ausführen.
Die neuesten Sicherheits-Updates
Die Framework-Lücke CVE-2023-21127 betrifft Android 11 bis 13 und kann ohne besondere Ausführungsberechtigungen ausgenutzt werden. Allerdings ist die Mithilfe des Benutzers nötig. Diese kann etwa im Antippen eines Links bestehen. Auch die System-Lücke CVE-2023-21108 betrifft alle unterstützten Android-Versionen. Sie kann über Bluetooth ohne Benutzerhilfe ausgenutzt werden, sofern das Bluetooth-Profil HFP (Hands-free-Profile, für Freisprecheinrichtungen) aktiviert ist. Für CVE-2023-21130 ist hingegen nur Android 13 anfällig.
Patch Level 2023-06-05 mit 0-Day-Lücke
Für das Hardware-nahe Patch Level 2023-06-05 führt das Juni-Bulletin insgesamt 33 Lücken auf. Zwei Schwachstellen sind als kritisch, alle anderen als hohes Risiko einstuft. Der Chipzulieferer ARM (Mali-GPUs) hat drei Lücken gestopft, darunter mit CVE-2022-22706 eine, die bereits seit einiger Zeit für Angriffe ausgenutzt wird. Die beiden als kritisch ausgewiesenen Sicherheitslücken stecken in Qualcomm-Chips (Snapdragon und andere).
Noch kein Pixel-Bulletin
Wie schon in den Wintermonaten hat Google im Juni die zusätzlichen Updates für seine Pixel-Geräte noch nicht ausgeliefert. Auch das separate Pixel-Bulletin ist noch nicht erschienen. Updates erhalten die Modelle Pixel 4a und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt.
Informationen zu Geräte-Updates nach Hersteller:
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat sich zwar in den letzten Jahren erhöht, jedoch ist noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt)