Mit dem Android Security Bulletin für Juni 2024 dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bugfixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken – oft jedoch mit einigem Verzug.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-06-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-06-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-06-01 mit 19 Sicherheitslücken
Für das Patch Level 2024-06-01 weist das Security Bulletin im Juni 19 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Google stuft die alle Schwachstellen als hohes Risiko ein. Die Ausnutzung der meisten Schwachstellen kann einem Angreifer erweiterte lokale Rechte (EoP) verschaffen. Lediglich bei CVE-2024-31312 handelt es sich um ein Datenleck, CVE-2024-31314 ist eine DoS-Lücke.
Über Google Play wird im Rahmen des Projekts Mainline Updates verteilt, die drei der 19 Schwachstellen im System (CVE-2024-31323, -31311, -21114) beseitigen sollen. Diese Updates sind für Geräte mit Android 12 bis 14 gedacht, die keine Herstellerunterstützung mehr erhalten.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-06-05 mit drei kritischen Sicherheitslücken
Für das Hardware-nahe Patch Level 2024-06-05 führt das Juni-Bulletin 18 gestopfte Lücken auf. Darunter sind drei als kritisch ausgewiesene Sicherheitslücken in nicht genannten Komponenten des Chip-Herstellers Qualcomm. Alle anderen Schwachstellen sind als hohes Risiko ausgewiesen. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPU), Imagination Technologies (PowerVR-GPU), Mediatek und Qualcomm. Hinzu kommt eine gestopfte EoP-Lücke im Linux-Kernel (CVE-2024-26926).
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte ist für diesen Monat noch nicht erschienen. Der Versatz kann zwischen einem Tag und mehreren Wochen liegen, Termine nennt Google nicht. Im April und Mai folgte das Pixel-Update einen Tag nach dem Android Security Bulletin. Das Pixel-Bulletin im Mai enthält zwei als hohes Risiko eingestufte Sicherheitslücken sowie fünf, die als mittleres Risiko gelten.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Android, Business, Mobile, Security Software and Services