Mit dem Android Security Bulletin für November 2024 dokumentiert Google, üblicherweise am ersten Montag eines Monats, die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken – oft jedoch mit einigem Verzug.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-11-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-11-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-11-01 mit einer 0-Day-Lücke
Für das Patch Level 2024-11-01 weist das Security Bulletin im November 17 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Google stuft alle Schwachstellen als hohes Risiko ein. Die Ausnutzung der meisten Schwachstellen kann einem Angreifer erweiterte lokale Rechte (EoP) verschaffen. Nur eine RCE-Lücke (Remote Code Execution) ist darunter (CVE-2024-43091). Die EoP-Lücke CVE-2024-43093 wird bereits für Angriffe ausgenutzt. Diese Schwachstelle betrifft das Modul DocumentsUI, das Dateizugriffe steuert. Alle Android-Versionen (12 bis 15) sind potenziell gefährdet.
Über Google Play werden im Rahmen des Projekts Mainline im November Updates verteilt, die vier Sicherheitslücken aus dem Patch Level 2024-11-01 schließen sollen. Darunter ist auch die 0-Day-Lücke CVE-2024-43093. Diese Updates sind für Geräte gedacht, die keine Herstellerunterstützung mehr erhalten.P
Patch Level 2024-11-05 mit einer 0-Day-Lücke
Für das Hardware-nahe Patch Level 2024-11-05 führt das November-Bulletin 23 gestopfte Lücken auf, darunter auch hier eine 0-Day-Lücke (CVE-2024-43047). Alle bis auf die als kritisch eingestufte Schwachstelle CVE-2024-38408 sind als hohes Risiko ausgewiesen. Sie verteilen sich auf den so genannten Upstream-Kernel (Linux) sowie auf Komponenten der Chipzulieferer Imagination Technologies (PowerVR-GPU), Mediatek und Qualcomm. Sowohl die 0-Day-Lücke als auch die einzige als kritisch ausgewiesene Schwachstelle betreffen Qualcomm-Komponenten.
Pixel Update Bulletin
Google hat inzwischen das Pixel Update Bulletin veröffentlicht. Über die im Android Security Bulletin dokumentierten Schwachstellen hinaus haben Googles Programmierer drei Sicherheitslücken geschlossen, die in Pixel-Geräten stecken. Alle drei sind als hohes Risiko ausgewiesen.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt/kk)