Zum Oktober-Patchday hat Google unter anderem die kürzlich von Project Zero veröffentlichte kritische Sicherheitslücke in Pixel 1 und 2 beseitigt. Wie jeden Monat hat Google auch im Oktober wieder zahlreiche Sicherheitslücken im Android-Betriebssystem geschlossen.
Gerätebesitzer können überprüfen, ob die Oktober-Updates installiert wurden, indem sie das aktuelle Patch-Level überprüfen: 2019-10-01 bedeutet, dass ein Teil der Oktober-Updates eingespielt wurde, während das Patch-Level 2019-10-05 alle aktuellen Updates umfasst. Details zu den je Level gefixten Lücken sind dem Android Security Bulletin für Oktober zu entnehmen.
Zahlreiche kritische Bugs behobenDas Security Bulletin nennt insgesamt elf kritische Sicherheitslücken. Acht von ihnen betreffen Closed-Source-Komponenten von Qualcomm; für sie sind keine näheren Beschreibungen verfügbar. Die drei übrigen (CVE-2013-2184, CVE-2013-2185 und CVE-2013-2186) stecken im Media Framework, sind aus der Ferne ausnutzbar und könnten unter anderem dazu missbraucht werden, um beliebigen Code im Kontext eines privilegierten Prozesses auszuführen oder schreibend auf beliebige Dateien zuzugreifen.
Das Bulletin listet außerdem 15 Lücken mit "High"-Einstufung auf. Angreifer könnten sie ausnutzen, um sich mittels Schadcode-Apps unter Umgehung von Nutzerinteraktionen diverse Berechtigungen auf dem Gerät zu erschleichen.
Wie immer gibt Google an, Android-Partner mindestens einem Monat vor der Veröffentlichung von Informationen zu den Schwachstellen informiert zu haben. Nun liegt es an den Herstellern, gerätespezifische Patches zu veröffentlichen.
Pixel-Bulletin: Fix für CVE-2019-2215Wie gewohnt hat Google wieder ein separates Update-Bulletin für Pixel-Geräte veröffentlicht. Ihm ist zu entnehmen, dass Googles eigene Smartphone-Modelle sämtliche Patches wie gewohnt automatisch erhalten (Patch-Level 2019-10-05). Zusätzlich erhalten sie noch weitere Sicherheits- sowie diverse Funktionsupdates.
Last but not least hat Google Pixel 1 und 2 (inkl. der XL-Modelle) auch gegen eine weitere Gefahr abgesichert – nämlich gegen die kürzlich von Maddie Stone aus dem Project-Zero-Team veröffentlichte kritische Sicherheitslücke CVE-2019-2215. Pixel 3 und 3A waren bereits zuvor gegen Angriffe auf diese Lücke abgesichert.
Besitzer anderer via CVE-2019-2215 verwundbarer Geräte (Huawei P20, Motorola Moto Z3, LG-Smartphones mit Android 8, Samsung S7/S8/S9, Oppo A3 und Xiaomi Redmi 5A/Redmi Note 5) müssen wohl oder übel weiterhin nach herstellerspezifischen Patches Ausschau halten.
Quelle :
www.heise.de