Google veröffentlicht monatliches Android-Sicherheitsbulletin und flickt kritische Schwachstellen

  • Google hat am Montag sein Android Security Bulletin für den Monat Juni veröffentlicht. Es enthält Details zu über 40 Sicherheitslücken, die Android-Geräte betreffen, sowie entsprechende Patches.

    In dem Advisory erklärt der Technologieriese, dass die schwerwiegendste dieser Schwachstellen eine kritische Sicherheitslücke in der Systemkomponente ist, die zur Remotecodeausführung führen kann [RCE] führen kann, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind.

    „Die Bewertung des Schweregrads basiert auf den Auswirkungen, die ein Ausnutzen der Schwachstelle auf ein betroffenes Gerät haben könnte, vorausgesetzt, die Plattform- und Dienstabschwächungen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen“, heißt es in dem Hinweis.

    Die als CVE-2022-20127 verfolgte Sicherheitslücke könnte ungepatchte Systeme mit den Android-Versionen 10, 11, 12 und 12L betreffen.

    In dem Bulletin werden jedoch noch weitere RCE-Schwachstellen erwähnt, die das Framework, das Media Framework bzw. den Kernel bestimmter Android-Geräte betreffen könnten.

    In dem Dokument geht Google auch auf Schwachstellen ein, die von der Hardware bestimmter Hersteller ausgehen, darunter Komponenten von MediaTek und Qualcomm sowie Unisoc-Chips von Motorola.

    Der Sicherheitspatch 2022-06-01 behebt Berichten zufolge die vier oben genannten kritischen Schwachstellen sowie fünf Sicherheitslücken im Framework, 13 in der Systemkomponente und 18 weitere in den geschlossenen Komponenten von Kernel, MediaTek, Unisoc und Qualcomm.

    Die Sicherheitspatch-Level von 2022-06-05 (oder später) beheben hingegen alle Probleme, die mit dem Sicherheitspatch-Level 2022-06-05 und allen vorherigen Patch-Levels verbunden sind.

    Google fügte hinzu, dass für einige Geräte mit Android 10 oder höher das Google Play-Systemupdate eine Datumszeichenfolge hat, die dem Sicherheitspatch-Level 2022-06-01 entspricht.

    Obwohl diese Schwachstellen gepatcht wurden, ist die Sicherheit von Android ein umfassenderes Thema. Jüngste Daten von Check Point haben gezeigt, wie Tausende von mobilen Apps aufgrund einer Fehlkonfiguration von Back-End-Cloud-Datenbanken im März Nutzerdaten preisgegeben haben.

    Kürzlich hat die Cybersecurity and Infrastructure Security Agency (CISA) 41 Schwachstellen in ihren Katalog bekannter Sicherheitslücken aufgenommen, darunter zwei, die Android-Systeme betreffen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com