Sicherheitslücke: Google warnt vor fehlenden Updates im Pixel

Wieder versäumt Google, vorhandene Patches bekannter Lücken an die eigenen Pixel-Geräte zu verteilen. Betroffen sind auch Samsung, Xiaomi und Oppo.

Artikel veröffentlicht am ,
Patches für bekannte Sicherheitslücken sind noch nicht bei den Android-Nutzern angekommen.
Patches für bekannte Sicherheitslücken sind noch nicht bei den Android-Nutzern angekommen. (Bild: Tobias Költzsch/Golem.de)

Die Sicherheitsforscher von Googles Project Zero warnen vor einer Sicherheitslücke in zahlreichen Android-Geräten, für die zwar bereits länger ein Patch-Update bereitsteht. Von den Android-Geräteherstellern sei dies bisher aber nicht übernommen oder an die Nutzer ausgespielt worden. Betroffen sind demnach Geräte von Samsung, Xiaomi, Oppo und anderen - auch die Pixel-Serie von Google.

Stellenmarkt
  1. (Junior) SAP Projektmanager Accounting and Finance (m/w/d)
    Lidl Dienstleistung GmbH & Co. KG, Bad Wimpfen
  2. Anwendungsentwickler (m/w/d) SAP S/4
    Follmann Chemie GmbH, Minden
Detailsuche

Konkret betroffen ist von den Sicherheitslücken (CVE-2022-36449) der Treiber von ARM für dessen Mali GPUs, der nicht im Hauptzweig des Linux-Kernels gepflegt wird. Bei den Lücken handelt es sich um typische Speicherfehler. Zum Potenzial der Lücken heißt es: "Ein Angreifer mit nativer Codeausführung in einem App-Kontext könnte vollen Zugriff auf das System erhalten, das Berechtigungsmodell von Android umgehen und einen umfassenden Zugriff auf Benutzerdaten ermöglichen."

Gefunden wurden die Lücken durch einen Audit des Codes durch Jann Horn. Initiiert hat diesen Audit wiederum die Erkenntnis von Maddie Stone, dass es sich bei den aktiv ausgenutzten Sicherheitslücken häufig um Varianten bereits bekannter Probleme handele. Stone zeigte dies am Beispiel von Lücken in dem Mali-GPU-Treiber, die aktiv ausgenutzt werden.

In dem Blogeintrag der Sicherheitsforscher heißt es, dass die durch Horn gefundenen und gemeldeten Lücken zuvor wahrscheinlich zur Nutzung in Malware gehandelt worden seien. Umso wichtiger sollte eigentlich das zeitnahe Schließen der Lücken sein. Und ARM ist dem auch direkt nachgekommen. Anschließende Tests bei den Geräteherstellern hätten aber gezeigt, dass diese die seit August bereitstehenden Updates von ARM noch nicht übernommen hätten.

Immer wieder Probleme mit Android-Updates

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    06./07.02.2023, Virtuell
  2. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    06.-10.02.2023, Virtuell
Weitere IT-Trainings

Zwar arbeitet Google seit Jahren an einigen technischen Lösungen, die es vereinfachen sollen, auch sicherheitskritische Android-Updates schnell verteilen zu können. Möglich machen das unter anderem Neuerungen in Android 12 (g+), die Google selbst aber noch nicht ausreichend umsetzt, wie wir bereits im Fall des Pixel 6 im vergangenen Jahr kritisiert haben.

Deutlich schwieriger wird die Update-Politik beim Linux-Kernel und den genutzten Treibern, wofür Google immer noch kein gutes oder schnell funktionierendes System etablieren konnte. So vergaß Google bereits im Jahr 2019 das Einspielen der Patches für Sicherheitslücke.

Die Sicherheitsforscher des Project Zero fordern die Hersteller auf, derartige Patch-Lücken schneller zu schließen und enger mit ihren Upstream-Projekten zusammen zu arbeiten. Das gilt offenbar auch für Google selbst. Für die Pixel heißt es in einem Bugreport, dass die Updates in den kommenden Wochen bereitstehen sollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Tesla-Fabrik
In Grünheide soll "totales Chaos" herrschen

Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
Artikel
  1. Elbit Systems Deutschland: Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab
    Elbit Systems Deutschland
    Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab

    Vor rund einem Jahr hat das Beschaffungsamt der Bundeswehr für 600 Millionen Euro Tausende Funkgeräte aus dem Jahr 1982 nachbauen lassen. Nun werden ganz neue angeschafft.

  2. Europäischer Rat: Einigung über Bargeldobergrenze von 10.000 Euro
    Europäischer Rat
    Einigung über Bargeldobergrenze von 10.000 Euro

    Der Europäische Rat hat sich auf eine Bargeldobergrenze von 10.000 Euro verständigt. Auch Kryptowährungen sollen streng reguliert werden.

  3. Angespielt: Diablo 4 wird brutal, makaber und ein bisschen eklig
    Angespielt
    Diablo 4 wird brutal, makaber und ein bisschen eklig

    Open-World-Freiheiten, dynamische Events und eine geteilte Spielwelt: Golem.de hat Diablo 4 angespielt und mit den Entwicklern gesprochen.
    Von Olaf Bleich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Asus RTX 4080 1.689,90€, MSI 28" 4K 579€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Alternate: Acer Gaming-Monitor 27" 159,90€, Razer BlackWidow V2 Mini 129,90€ • 20% Extra-Rabatt bei ebay • Amazon Last Minute Angebote [Werbung]
    •  /