Googles erstes Sicherheitsupdate von 2020 behandelte sieben hohe und kritische Android-Fehler.
Google startete sein erstes Android Security Bulletin von 2020, in dem ein kritischer Fehler in seinem Android-Betriebssystem gepatcht wurde, der, wenn er ausgenutzt wird, einem entfernten Angreifer die Ausführung von Code ermöglichen könnte. Verglichen mit der monatlichen Bilanz des letzten Jahres war die Anzahl der gepatchten CVEs in diesem Monat relativ gering.
Der Fehler bei der Remote-Code-Ausführung (RCE) war eine von mehreren kritischen und hochgradigen Schwachstellen, die insgesamt sieben CVEs ausmachten, die in diesem Monat gepatcht wurden. Qualcomm, dessen Chips in Android-Geräten verwendet werden, hat im Januar-Bulletin ebenfalls eine Mischung aus 29 Schwachstellen mit hoher und mittlerer Schwere gepatcht.
Google sagte, dass die kritische Sicherheitslücke (CVE-2020-0002) im Media-Framework von Android besteht, das die Unterstützung für die Wiedergabe einer Vielzahl gängiger Medientypen umfasst, so dass die Nutzer Audio, Video und Bilder problemlos nutzen können. Die Android-Betriebssysteme 8.0, 8.1 und 9 sind speziell von dem Fehler betroffen.
"Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke im Media-Framework, die es einem entfernten Angreifer, der eine speziell präparierte Datei verwendet, ermöglichen könnte, beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen", so Google im Bulletin.
Ebenfalls behoben wurden die hochgradigen Fehler bei der Erhöhung der Privilegien (CVE-2020-0001, CVE-2020-0003) und ein Fehler bei der Dienstverweigerung (CVE-2020-0004) im Android-Framework, die es einer lokalen bösartigen Anwendung ermöglichen könnten, die Anforderungen an die Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten", so das Bulletin.
Und es wurden drei schwerwiegende Fehler (CVE-2020-0006, CVE-2020-0007, CVE-2020-0008) im Android-Betriebssystem entdeckt, die "zur Offenlegung von Informationen aus der Ferne führen könnten, ohne dass zusätzliche Ausführungsberechtigungen erforderlich wären".
Die technischen Details zu jedem der CVEs sind begrenzt, d.h. bis die Mobiltelefone gepatcht sind und die Angst vor der Ausnutzung dieser Fehler durch Hacker deutlich reduziert ist.
Neunundzwanzig CVEs - alle mit Ausnahme eines kritischen CVEs - wurden ebenfalls gepatcht, die sich auf Qualcomm-Komponenten beziehen, die in Android-Geräten verwendet werden. Der Fehler mit dem kritischen Schweregrad bestand im Qualcomm Realtek "rtlwifi-Treiber" (CVE-2019-17666) und könnte zur entfernten Codeausführung führen. Der "rtlwifi"-Treiber ist eine Software-Komponente, die es bestimmten Realtek Wi-Fi-Modulen, die in Linux-Geräten verwendet werden, ermöglicht, mit dem Linux-Betriebssystem zu kommunizieren.
Die Hersteller von Android-Geräten bringen in der Regel ihre eigenen Patches heraus, um Aktualisierungen zusammen mit oder nach dem Google-Sicherheitsbulletin anzusprechen. Samsung sagte in einer Sicherheitswartungsversion, dass es mehrere der Patches für das Android-Sicherheitsbulletin, einschließlich CVE-2020-0002, für wichtige Samsung-Modelle veröffentlicht.
Korrekturen für LG-, Nokia- und Pixel-Geräte stehen kurz bevor, müssen aber noch veröffentlicht werden.
Das Sicherheitsbulletin ist das erste des Jahres für Google. Das Unternehmen hat im Dezember ein Update veröffentlicht, das drei kritische Sicherheitslücken in seinem Betriebssystem Android schließt - eine davon könnte bei Ausnutzung zu einer "permanenten Dienstverweigerung" auf den betroffenen Mobilgeräten führen. Das Android Security Bulletin vom Dezember 2019 stellte Fixes für kritische, hohe und mittlere Schwachstellen bereit, die mit insgesamt 15 CVEs verbunden sind.
