Google hat Sicherheitsupdates für sein Betriebssystem Android veröffentlicht, um insgesamt 46 Sicherheitslücken zu schließen. Es wird vermutet, dass einige dieser Schwachstellen (CVE-2023-26083, CVE-2021-29256 und CVE-2023-2136) bereits aktiv ausgenutzt werden.
Die Sicherheitslücke CVE-2023-26083, ein Speicherleck mittleren Ausmaßes, befindet sich im Arm Mali-GPU-Treiber für die Bifrost-, Avalon- und Valhall-Chipsätze. Diese Schwachstelle wurde bereits in einer Angriffskette ausgenutzt, die im Dezember 2022 zur Installation von Spionagesoftware auf Samsung-Geräten führte. Aufgrund der potenziellen Schwere dieser Sicherheitslücke ordnete die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) im April 2023 die sofortige Schließung der Sicherheitslücke an.
Eine weitere Sicherheitslücke ist CVE-2021-29256, die als hochriskant eingestuft wurde und die unautorisierte Offenlegung von Informationen sowie die Ausweitung von Root-Privilegien ermöglicht. Sie betrifft auch bestimmte Versionen der Bifrost- und Midgard Arm Mali-GPU-Kerntreiber.
Die Sicherheitslücke CVE-2023-2136 wird mit 9,6 von 10 Punkten als kritisch eingestuft. Sie resultiert aus einem Integer-Überlauf-Fehler in Skia, Googles Open-Source-2D-Grafikbibliothek, die auch in Chrome verwendet wird. Für Chrome wurde der Fehler bereits im April behoben.
Im Rahmen der Sicherheitsupdates hat Google auch die kritische Schwachstelle CVE-2023-21250 behoben. Eine Ausnutzung dieser Schwachstelle könnte zur Remote-Ausführung von Code ohne Benutzerinteraktion oder zusätzliche Ausführungsrechte führen, warnt Google.
Der Update-Prozess folgt einem standardisierten System, das Patches in zwei Schritten bereitstellt – einen für grundlegende Android-Komponenten und einen für Kernel und herstellerspezifische Komponenten. Dies ermöglicht den Geräteherstellern eine gezielte Aktualisierung.
Die aktuellen Sicherheitsupdates betreffen die Android-Versionen 11, 12 und 13. Ältere Betriebssystemversionen, die nicht mehr unterstützt werden, können jedoch ebenfalls von den genannten Sicherheitslücken betroffen sein. Nutzer dieser Systeme sollten den Umstieg auf ein neueres Gerätemodell in Erwägung ziehen oder eine Android-Distribution eines Drittanbieters installieren, die Sicherheitsupdates für ältere Geräte bereitstellt – wenn auch mit einer gewissen zeitlichen Verzögerung.
