Wie jeden Monat hat Google auch im August Sicherheitsupdates für Android veröffentlicht. Fixes für insgesamt 54 Sicherheitslücken heben den Patchlevel des mobilen Betriebssystems auf 2020-08-05 an. Sechs der beseitigten Lücken gelten als kritisch; von den übrigen geht ein "hohes" Sicherheitsrisiko aus.
Offizielle Android-Partner, so schreibt Google im Android Security-Bulletin für August 2020, erhalten mindestens einen Monat vorab Informationen zu den Sicherheitsproblemen, um ihre Kunden (zumindest in der Theorie) zeitnah mit gerätespezifischen Updates versorgen zu können.
An unterstützte Pixel-Geräte verteilt Google die Updates wie immer automatisch – zusammen mit drei zusätzlichen Patches, die das Unternehmen in einem separaten Pixel-Update Bulletin für August 2020 aufführt.
Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.
Remote-Code-Execution-Lücke im Framework
Die gefährlichste (wenn auch mit "High" eingestufte) Lücke steckt laut Google im Android-Framework. Sie trägt die CVE-Nummer CVE-2020-0240 und ermöglicht einem entfernten Angreifer das Ausführen beliebigen Programmcodes (Remote Code Execution, RCE) im Kontext eines unprivilegierten Prozesses mittels einer "speziell präparierten Datei".
Weitere Sicherheitslücken ermöglichen Denial-of-Service-Angriffe (DoS), Rechteausweitung (Elevation of Privilege, im Bulletin: EoP) sowie den unbefugten Zugriff auf Informationen (Information Disclosure, "ID" im Bulletin).
Die kritischen Lücken (unter anderem mangelhafte Authentifizierungs- und Validierungsmechanismen, Race Conditions und Pufferüberläufe) stecken allesamt in Qualcomm-Komponenten.
Details nennt das Qualcomm-eigene August 2020 Security Bulletin:
Fun Fact am Rande
Ein nicht mit dem eigentlichen Inhalt des Android Security Bulletins in Verbindung stehendes, aber durchaus witziges Detail wird sichtbar, wenn man die Spracheinstellungen von Englisch nach Deutsch ändert. Aus der Kurzbezeichnung "ID" für "Information Disclosure" wird dann nämlich "ICH WÜRDE" – vermutlich falsch Auto-übersetzt von "I'd"/"I would".
"Ich würde" ... ja, was denn? Hier ist wohl die Auto-Übersetzung schief gelaufen.
(Bild: source.android.com)
(ovw)
August 05, 2020 at 04:18PM
https://ift.tt/3gwnSqW
Patchday für Android-Systeme: Google beseitigt unter anderem Remote-Einfallstor - heise online
https://ift.tt/31AF6z2
Android
No comments:
Post a Comment