Angreifer könnten Android-Geräte attackieren und sich unter anderem höhere Nutzerrechte verschaffen oder auf eigentlich abgeschottete Informationen zugreifen. Android-Nutzer sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind (Patchlevel 2021-09-01 oder 2021-09-05). Als besonders gefährlich stuft Google in einer Warnmeldung eine „kritische“ DoS-Lücke (CVE-2021-0687) im Framework ein. Viele Details dazu sind nicht bekannt. Ein entfernter Angreifer soll Attacken mit einer präparierten Datei einleiten können. Klappt das, soll die Folge ein permanenter DoS-Zustand sein. Nach DoS-Attacken stürzt Software in der Regel ab. In diesem Fall klingt das so, als wäre das Gerät nach einer erfolgreichen Attacke nicht mehr benutzbar. Kritische Schwachstellen betreffen auch mehrere Qualcomm-Komponenten. Welche das im Detail sind, ist derzeit unklar. Die verbleibenden Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Nach erfolgreichen Attacken können Angreifer mit erhöhten Rechten dastehen oder Daten leaken. Weitere Schwachstellen betreffen unter andrem noch Kernel- und MediaTek-Komponenten. Auch Lücken im System und Media Framework könnten Einfallstore für Angreifer sein. Dafür müssten Angreifer laut Aussage von Google aber lokal eine mit Schadcode versehene Applikation laufen lassen. Das ist aber in der Regel nicht ohne Weiteres möglich. Googles Pixel-Serie bekommt diesen Monat zusätzliche Sicherheitsupdates. Einem Beitrag zufolge haben die Entwickler unter anderem eine Schadcode-Lücke (CVE-2021-0869 „hoch“) geschlossen. Pixel-Besitzer sollten darauf achten, dass im Oktober 2021 der Support für Pixel-3- und Pixel-3-XL-Geräte ausläuft. Danach gibt es für die Serie keine Sicherheitsupdates mehr. Neben Google liefern noch etwa LG und Samsung monatlich Sicherheitsupdates für einige ihrer Android-Geräte.

Quelle: Heise