Mit dem Android Security Bulletin für August dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Auch das separate Pixel-Bulletin für Googles Geräteportfolio ist erschienen. Beide Bulletins sind turnusgemäß am ersten Montag des Monats erschienen, was in diesem Jahr bislang nur selten geklappt hat.
Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-08-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-08-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen.
Patch Level 2023-08-01 mit zwei kritischen Lücken
Für das Patch Level 2023-08-01 weist das Security Bulletin im August 32 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Eine Schwachstelle im Media Framework (CVE-2023-21282) und eine weitere im System (CVE-2023-21273) sind als kritisch eingestuft. Alle anderen Lücken sind als hohes Risiko ausgewiesen.
▶Die neuesten Sicherheits-Updates
Über Google Play werden im Rahmen des Project Mainline ausgewählte Patches auch an Geräte ausgeliefert, deren Hersteller keine Sicherheits-Updates bereitstellen. Im August betrifft das sieben Lücken, darunter die als kritisch eingestufte Schwachstelle CVE-2023-21282 sowie zwei WLAN-Lücken (CVE-2023-20965, CVE-2023-21242).
Patch Level 2023-08-05 mit zwei kritischen Lücken
Für das Hardware-nahe Patch Level 2023-08-05 führt das August-Bulletin lediglich neun gestopfte Lücken auf. Eine der zwei Schwachstellen im Kernel ist als kritisch (CVE-2023-21264), die andere (CVE-2020-29374) als hohes Risiko einstuft. Beide stammen aus dem Linux-Kernel („Upstream Kernel“). Der Chipzulieferer ARM (Mali-GPUs) hat eine Lücke geschlossen, ebenso Mediatek. In Qualcomm-Chips (Snapdragon und andere Komponenten) sind eine als kritisch ausgewiesene Sicherheitslücke sowie vier als hohes Risiko eingestufte Lücken behoben.
Das Pixel-Bulletin
Google hat auch das separate Pixel-Bulletin veröffentlicht. In seinen Pixel-Geräten, darunter auch das Pixel Tablet und das Pixel Fold, hat Google fünf Lücken geschlossen. Alle stecken in Qualcomm-Komponenten und sind als mittleres Risiko eingestuft. Updates erhalten die Modelle Pixel 4a und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt. Das Pixel 4a erhält in diesem Monat das letzte Update, das Pixel 5 im Oktober und das Pixel 4a 5G im November.
Hersteller-Infos zu Updates
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.