Mit dem Android Security Bulletin für April 2024 dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-04-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-04-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-04-01 mit acht Sicherheitslücken
Für das Patch Level 2024-04-01 weist das Security Bulletin im April acht beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Alle Schwachstellen in Android 12 bis 14 stuft Google als hohes Risiko ein. Die Ausnutzung der Schwachstellen CVE-2024-23710, CVE-2024-23713 oder CVE-2024-23704 kann einem Angreifer erweiterte lokale Rechte verschaffen. Über Google Play werden auch in diesem Monat keine Updates verteilt.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-04-05 mit 20 Sicherheitslücken
Für das Hardware-nahe Patch Level 2024-04-05 führt das April-Bulletin 20 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer Mediatek und Qualcomm. Hinzu kommt eine Schwachstelle (CVE-2024-0042) in Widevine, Googles DRM-Technik. Alle Schwachstellen sind als hohes Risiko ausgewiesen.
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte ist für diesen Monat noch nicht erschienen.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
