“Google behebt 46 Sicherheitslücken mit dem monatlichen Android-Sicherheitsupdate”

Reading Time: ( Word Count: )

July 7, 2023
Nextdoorsec-course

Google hat seine monatlichen Sicherheitspatches für das Android-System veröffentlicht, mit denen 46 neu entdeckte Software-Schwachstellen behoben werden. Es wurde festgestellt, dass drei dieser Sicherheitslücken bei gezielten Cyberangriffen aktiv ausgenutzt wurden.

Die mit CVE-2023-26083 bezeichnete Schwachstelle ist ein Speicherleck im Arm Mali GPU-Treiber, das für Bifrost-, Avalon- und Valhall-Chips gilt. Diese Schwachstelle wurde bereits bei einem Angriff manipuliert, der im Dezember 2022 zu einem Spionageangriff auf Samsung-Geräte führte.

Diese Schwachstelle wurde als so schwerwiegend eingestuft, dass die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sich gezwungen sah, die Bundesbehörden anzuweisen, im April 2023 ein Sicherheits-Patch aufzuspielen.

Eine weitere einzigartige Sicherheitslücke mit der Bezeichnung CVE-2021-29256 ist ein Problem von hoher Priorität, das sich auf ausgewählte Modelle der Bifrost- und Midgard Arm Mali-GPU-Kerneltreiber auswirkt. Dieses Problem ermöglicht es einem nicht privilegierten Benutzer, unberechtigterweise auf vertrauliche Informationen zuzugreifen und seine Rechte auf die Root-Ebene zu erweitern.

Lesen Sie auch: “Threads vs. Twitter: Wer sammelt Ihre Daten mehr?”

Die dritte manipulierte Schwachstelle, CVE-2023-2136, ist ein schwerwiegender Fehler, der in Skia, der plattformübergreifenden Open-Source 2D-Grafikbibliothek von Google, gefunden wurde. Sie wurde zunächst als Zero-Day-Schwachstelle im Chrome-Browser aufgedeckt und ermöglicht es einem Angreifer, der die Kontrolle über den Rendering-Prozess übernommen hat, Sandbox-Beschränkungen zu umgehen und Remote-Code auf Android-Geräten zu implementieren.

Darüber hinaus weist Google in seiner Android-Sicherheitsankündigung vom Juli auf eine weitere hochriskante Schwachstelle hin, CVE-2023-21250, die die Android-Systemkomponente betrifft. Diese Schwachstelle kann die Ausführung von Remotecode ohne Eingreifen des Benutzers oder zusätzliche Ausführungsberechtigungen ermöglichen, was sie besonders gefährlich macht.

Diese Sicherheits-Patches werden über zwei Patch-Phasen verteilt. Die erste Patch-Phase, die am 1. Juli veröffentlicht wurde, konzentriert sich auf Kernelemente von Android und behebt 22 Sicherheitslücken in den Komponenten Framework und System.

Die zweite Patch-Phase, die am 5. Juli eingeführt wurde, zielt auf Kernel- und proprietäre Komponenten ab und behebt 20 Sicherheitslücken in den Komponenten von Kernel, Arm, Imagination Technologies, MediaTek und Qualcomm.

Die Auswirkungen der behobenen Schwachstellen könnten über die offiziell unterstützten Android-Versionen (11, 12 und 13) hinausgehen und möglicherweise auch ältere Betriebssystemversionen betreffen, die keinen offiziellen Support mehr erhalten.

Darüber hinaus hat Google auch spezielle Sicherheits-Patches für seine Pixel-Geräte bereitgestellt, die 14 Schwachstellen im Kernel, in Pixel- und Qualcomm-Komponenten beheben. Zwei dieser schwerwiegenden Schwachstellen können zu Privilegieneskalation und Denial-of-Service-Angriffen führen.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *