Android hat im November eine neue Liste mit Sicherheitslücken für Android 11, 12 und 13 veröffentlicht. Dabei findet sich neben einer kritischen Lücke auch weitere 14 hochgefährliche Lücken. Das Security Bulletin warnt noch vor weiteren Schwachstellen, je nach dem ob Arm, MediaTek oder Qualcomm-Komponenten im mobilen Gerät verbaut sind.
Googles Security-Bulletin für den November 2023 hat eine beunruhigende Länge. Allerdings treffen die dort aufgeführten Sicherheitslücken nicht auf jedes Android-Gerät zu, auch wenn es Android 11, 12 oder 13 nutzt. Aber auch in den allgemein gültigen Schwachstellen findet sich neben einer kritischen Lücke auch 14 hochgefährliche Lücken.
Die kritische Lücke CVE-2023-40113 soll laut Google besonders bedrohlich sein, da sie das Systeme betrifft. Ein Angreifer soll keine zusätzlichen Ausführungsrechte für seine Attacke benötigen und somit Zugriff auf eigentlich gesicherte Daten möglich sein. Die weiteren 14 hochgefährliche Lücken könnten im Framework eine Rechteausweitung oder die Offenlegung von Informationen ermöglichen.
Weitere Schwachstellen wegen Arm, MediaTek oder Qualcomm-Komponenten
Das Security-Bulletin für den November 2023 zählt noch weitere Schwachstellen auf, sofern Arm, MediaTek oder Qualcomm-Komponenten in einem Android-Gerät verbaut sind. Für sie gilt der Patch-Level 2023-11-05, der meistens über die Security-Patches der Gerätehersteller abgefangen wird. Bei Arm ist das eine hochgefährliche Lücke, bei MediaTek sechs.
15 Lücken sind es bei Qualcomm, wobei 4 im Bereich Closed-Source-Komponenten als kritisch gelten: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. Die erfolgreiche Ausnutzung der kritischen Schwachstellen könnte eine Rechteausweitung ermöglichen. Abhängig von den mit der ausgenutzten Komponente verbundenen Privilegien könnte ein Angreifer dann Programme installieren, Daten einsehen, ändern, löschen oder gar ein neues Konten mit vollen Rechten erstellen.
Mehr bei Android.com