Mit dem Android Security Bulletin für September 2024 dokumentiert Google, üblicherweise am ersten Montag eines Monats, die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken – oft jedoch mit einigem Verzug.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-09-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-09-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-09-01 mit einer 0-Day-Lücke
Für das Patch Level 2024-09-01 weist das Security Bulletin im September zehn beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Google stuft alle Schwachstellen als hohes Risiko ein. Die Ausnutzung der meisten Schwachstellen kann einem Angreifer erweiterte lokale Rechte (EoP) verschaffen. Ohne weitere Angaben zu machen, warnt Google, es gebe Anzeichen für „begrenzte, gezielte Angriffe“ unter Ausnutzung der Schwachstelle CVE-2024-32896. Alle Android-Versionen (12 bis 14) sind potenziell gefährdet.
Über Google Play wird im Rahmen des Projekts Mainline im September ein Update verteilt, das die Sicherheitslücke CVE-2024-40659 schließen soll. Diese Updates sind für Geräte mit Android 12 bis 14 gedacht, die keine Herstellerunterstützung mehr erhalten.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-09-05 mit zwei kritischen Lücken
Für das Hardware-nahe Patch Level 2024-09-05 führt das September-Bulletin 25 gestopfte Lücken auf. Darunter ist eine als hohes Risiko ausgewiesene Sicherheitslücke (CVE-2024-36972) im Upstream-Kernel (Linux).
Auch alle anderen Schwachstellen sind als hohes Risiko ausgewiesen. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPU), Imagination Technologies (PowerVR-GPU), Unisoc und Qualcomm. Auf Qualcomm entfallen allein 19 Sicherheitslücken, von denen zwei (CVE-2024-33042, -33052) als kritisch eingestuft sind. Sie betreffen Qualcomms WLAN-Komponente.
Pixel Update Bulletin mit vier kritischen Lücken
Das separate Bulletin für Googles Pixel-Geräte ist in diesen Monat sogar einige Stunden vor dem Android Security Bulletin erschienen. Google hat beide erst am 3. September veröffentlicht, da am Montag der Tag der Arbeit (Labour Day) in den USA und Kanada war, ein Feiertag.
Im Pixel Update Bulletin für September werden die zusätzlich zu den Lücken aus dem Android Security Bulletin in Pixel-Geräten beseitigten Schwachstellen dokumentiert. In diesem Monat sind das ganze sechs Sicherheitslücken, von denen Google vier als kritisch einstuft. Ein Angreifer, der eine dieser Schwachstellen ausnutzt, könnte sich höhere Berechtigungen verschaffen. Die zwei übrigen Sicherheitslücken gelten als hohes Risiko.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Autor: Frank Ziemann, Autor, PC-WELT
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.