Mit dem Android Security Bulletin für Mai 2024 dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bugfixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei sogenannte Patch Level. Das erste, 2024-05-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-05-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-05-01 mit einer kritischen Sicherheitslücke
Für das Patch Level 2024-05-01 weist das Security Bulletin im Mai acht beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Google stuft die Schwachstelle CVE-2024-23706 als kritisch ein, sie betrifft nur Android 14. Alle übrigen Sicherheitslücken in Android 12 bis 14 stuft Google als hohes Risiko ein. Die Ausnutzung der Schwachstellen kann einem Angreifer erweiterte lokale Rechte verschaffen. Nur bei CVE-2024-23709 handelt es sich um ein Datenleck.
Über Google Play wird im Rahmen des Projekts Mainline Updates verteilt, die drei der acht Schwachstellen im System (CVE-2024-0043, -23706, -23709) beseitigen sollen. Diese Updates sind für Geräte mit Android 12 bis 14 gedacht, die keine Herstellerunterstützung mehr erhalten.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-05-05 mit 18 Sicherheitslücken
Für das Hardware-nahe Patch Level 2024-05-05 führt das Mai-Bulletin 18 gestopfte Lücken auf. Alle Schwachstellen sind als hohes Risiko ausgewiesen. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPU), Mediatek und Qualcomm. Hinzu kommen Kernel-Aktualisierungen: Abhängig von der vorhandenen Android-Version werden neuere, auf Linux basierende Langzeit-Kernel (LTS) eingespielt.
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte ist für diesen Monat noch nicht erschienen. Der Versatz kann zwischen einem Tag und mehreren Wochen liegen, Termine nennt Google nicht. Im April folgte das Pixel-Update einen Tag nach dem Android Security Bulletin und dokumentierte unter anderem zwei 0-Day-Lücken (CVE-2024-29745, CVE-2024-29748) im Bootloader und in der Firmware. Hinzu kam eine als kritisch eingestufte Schwachstelle (CVE-2024-29740) im Android Package Inspector (ACPM).
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Android, Business, Mobile, Security Software and Services