Security Patch: Google beseitigt im April Qualcomm-Sicherheitslücken

Das Android Security Bulletin für den April ist verfügbar. Mit dem Security Patch Level veröffentlicht Google Details zu bekanntgewordenen und gleichzeitig beseitigten Sicherheitslücken.

Insgesamt werden zehn als kritisch eingestufte Sicherheitslücken beseitigt. Sechs davon betreffen Qualcomm-bezogene Closed-Source-Komponenten. Eine betrifft die WLAN-Host-Komponente, die quelloffen ist. Wer keine Qualcomm-basierte Hardware hat, kann diese sieben Sicherheitslücken ignorieren. Damit bleiben drei kritische Lücken, die Softwarekomponenten in Frameworks betreffen. Eine davon erlaubt das Erschleichen höherer Rechte. Dieses Problem musste aber nur in der Android Open Source Project (AOSP) Version 8.0 beseitigt werden. Die anderen beiden ermöglichen es Angreifern, auf Entfernung Code auszuführen und wurden in zahlreichen AOSP-Versionen beseitigt.

Im AOSP-Source-Code sollten die Patches am 3. April 2019 verfügbar sein. Hersteller von Android-Geräten wurden vor einem Monat auf die April-Updates aufmerksam gemacht. Wie gehabt gibt es zwei Security Patch Level. Wer auf seinem Gerät das Datum 2019-04-01 (internationales Datumsformat) sieht, der hat vor allem die allgemeinen Patches installiert. Das Datum 2019-04-05 beinhaltet vor allem zusätzlich die Bugfixes für Qualcomm-Hardware. Ein baldiges Patchen zumindest auf das Patchlevel 2019-04-01 ist ratsam, sofern die Patches von Geräteherstellern verfügbar gemacht werden. Das kann - wenn das Update überhaupt bereitgestellt wird - Wochen bis mitunter mehrere Monate dauern.

Google hat für die Pixel-3-Geräte das Patchlevel laut Übersicht bereits auf 2019-04-05 gesetzt. In den detaillierten Release Notes steht jedoch, dass es für das Pixel keine Sicherheitsupdates gibt. Wir haben bei Google wegen dieses Widerspruchs angefragt und werden den Artikel bei Verfügbarkeit weiterer Informationen aktualisieren.