Mit dem Android Security Bulletin für Juli 2024 dokumentiert Google, üblicherweise am ersten Montag eines Monats, die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken – oft jedoch mit einigem Verzug.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-07-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-07-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-07-01 mit einer kritischen Sicherheitslücke
Für das Patch Level 2024-07-01 weist das Security Bulletin im Juli lediglich acht beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Google stuft die Schwachstelle CVE-2024-31320 im Framework als kritisch ein. Die Lücken sind als hohes Risiko ausgewiesen. Die Ausnutzung der meisten Schwachstellen kann einem Angreifer erweiterte lokale Rechte (EoP) verschaffen. Lediglich bei CVE-2024-34721 handelt es sich um ein Datenleck.
Über Google Play wird im Rahmen des Projekts Mainline Updates verteilt, die zwei der acht Schwachstellen im System (CVE-2024-34721, CVE-2024-31339) beseitigen sollen. Diese Updates sind für Geräte mit Android 12 bis 14 gedacht, die keine Herstellerunterstützung mehr erhalten.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-07-05 mit einer kritischen Sicherheitslücke
Für das Hardware-nahe Patch Level 2024-07-05 führt das Juli-Bulletin 19 geschlossene Lücken auf. Darunter ist eine als kritisch ausgewiesene Sicherheitslücke in einer nicht genannten Komponente des Chip-Herstellers Qualcomm. Alle anderen Schwachstellen sind als hohes Risiko ausgewiesen. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPU), Imagination Technologies (PowerVR-GPU), Mediatek und Qualcomm. Hinzu kommt eine gestopfte EoP-Lücke im Linux-Kernel (CVE-2024-26923).
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte ist für diesen Monat noch nicht erschienen. Der Versatz kann zwischen einem Tag und mehreren Wochen liegen, Termine nennt Google nicht. Das Pixel-Bulletin im Juni dokumentiert 50 teils kritische Sicherheitslücken, darunter eine 0-Day-Lücke in der Pixel-Firmware.
Update 3. Juli – Pixel Bulletin
Einen Tag nach dem Android Security Bulletin hat Google auch das Pixel Update Bulletin für Juli veröffentlicht. Im Gegensatz zum Vormonat kommen im Juli nur vier beseitigte Sicherheitslücken hinzu. Alle vier betreffen das WLAN-Modul des Herstellers Qualcomm und sind als mittleres Risiko eingestuft. Hinzu kommen Verbesserungen der Stabilität bei der Kamera, der Gestensteuerung und dem System. [Update Ende]
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, doch ist immer noch viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
