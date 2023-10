Mit dem Android Security Bulletin für Oktober dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bugfixes der Chiphersteller.

Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei sogenannte Patch Level. Das erste, 2023-10-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-10-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Im Oktober ist noch ein drittes Patch Level hinzugekommen: 2023-10-06.

Patch Level 2023-10-01 mit einer kritischen Lücke

Für das Patch Level 2023-10-01 weist das Security Bulletin im Oktober 24 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Eine Schwachstelle in der Kategorie System (CVE-2023-40129) ist als kritisch eingestuft, da sie es erlaubt, Code einzuschleusen und auszuführen. Sie betrifft den Bluetooth-Stack (Fluoride). Alle anderen Sicherheitslücken sind als hohes Risiko ausgewiesen.

Über Google Play werden im Rahmen des Project Mainline ausgewählte Patches auch an Geräte ausgeliefert, deren Hersteller keine Sicherheits-Updates bereitstellen. Im Oktober betrifft das zwei Lücken: CVE-2023-40127 in der Komponente MediaProvider und CVE-2023-21252 in der WLAN-Komponente.

Patch Level 2023-10-05 mit drei kritischen Schwachstellen und einer 0-Day-Lücke

Für den Hardware-nahen Patch Level 2023-10-05 führt das Oktober-Bulletin 26 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPUs), Unisoc, MediaTek und Qualcomm. Alle fünf ARM-Lücken sind als hohes Risiko eingestuft. Für die Sicherheitslücke CVE-2023-4211 (Mali) gibt es laut ARM und Google Hinweise, dass diese bei begrenzten Angriffen ausgenutzt wird (0-Day-Lücke). Betroffen sind auch ältere Geräte, für die es keine Updates mehr gibt.

Drei Schwachstellen in MediaTek-Komponenten sowie eine in einer Unisoc-Komponente sind ebenfalls als hohes Risiko ausgewiesen. Alle weiteren Lücken stecken in Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten). Drei der Schwachstellen sind als kritisch einstuft, die übrigen als hohes Risiko.

Patch Level 2023-10-06 mit einer 0-Day-Lücke

Offenbar extra für die 0-Day-Lücke CVE-2023-4863 hat Google diesmal ein drittes Patch Level aufgemacht. Es handelt sich hierbei um die bereits bekannte Schwachstelle in der quelloffenen Programmbibliothek libwebp. Diese wurde zunächst in Googles Browser Chrome entdeckt, betrifft jedoch auch zahlreiche weitere Programme. Sie nutzen alle die libwebp-Bibliothek, um Bilder im WebP-Format zu verarbeiten.

Das separate Bulletin für seine Pixel-Geräte besteht in diesem Monat lediglich aus einem Eintrag. Der betrifft die bereits erwähnte 0-Day-Lücke CVE-2023-4211 in Mail-GPUs. Updates erhalten die Modelle Pixel 5 und neuer. Für das Pixel 4, 4a und ältere Geräte hat Google die Update-Versorgung bereits eingestellt. Das Pixel 5 erhält im Oktober zum letzten Mal Updates, das Pixel 4a 5G im November. Heute soll die neue Betriebssystemversion Android 14 („Upside Down Cake“) erscheinen.

Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.