Es gibt 37 Schwachstellen, die Google anlässlich der Veröffentlichung des Android Security Bulletins vom Juni 2024 in seinem mobilen System und in den verschiedenen Komponenten behoben hat.
Drei der Sicherheitslücken haben den Schweregrad „Kritisch“ und wurden alle in den Closed-Source-Komponenten von Qualcomm identifiziert. Für alle anderen ist der Schweregradindex hoch.
Die Ausnutzung der Schwachstellen könnte die Durchführung von Angriffen der folgenden Art ermöglichen:
- Ausführung von beliebigem Code (Arbitrary Code Execution);
- Offenlegung von Informationen (Information Disclosure);
- Erhöhung von Privilegien (Privilege Escalation).
Laut dem von CSIRT Italien veröffentlichten Bulletin sind die Auswirkungen der Schwachstellen mittel/gelb (64,61/100).
Wie üblich wurde das Android Security Bulletin vom Juni 2024 in zwei kumulative Update-Pakete unterteilt: das erste, katalogisiert als Sicherheitspatch-Level 2024-06-01betrifft die Hauptkomponenten des Betriebssystems Android 12, 12L, 13 und 14 mit Sicherheitspatches vor Juni 2024.
Die zweite, katalogisiert als Sicherheitspatch-Level 2024-06-05behebt und behebt Sicherheitsprobleme, die in Komponenten von Closed-Source-Anbietern festgestellt wurden.
Weitere Details zu den Android Security Bulletin-Updates vom Juni 2024 finden Sie auf der entsprechenden Seite.
Die Schwachstellen der ersten Sicherheitspatchstufe
Mit dem ersten Patch-Paket, das im Android Security Bulletin vom Juni 2024 enthalten ist, identifiziert als Sicherheitspatch-Level 2024-06-0119 Schwachstellen wurden behoben, gruppiert nach der Systemkomponente, die sie betreffen.
Darüber hinaus wurden drei weitere Schwachstellen in den Komponenten des Google Play Systems behoben, sodass insgesamt 22 Sicherheitsprobleme behoben wurden.
Die ersten zwölf Schwachstellen wurden in der Komponente identifiziert Rahmenwerke. Der schwerwiegendste Fall könnte zu einer lokalen Eskalation der Privilegien führen, ohne dass zusätzliche Ausführungsprivilegien erforderlich wären.
Alle sind mit einem hohen Schweregradindex klassifiziert, davon sind zehn vom Typ EoP (Elevation of Privilege), einer vom Typ ID (Information Disclosure) und der letzte vom Typ DoS (Denial of Service).
In der Komponente wurden sieben weitere Schwachstellen identifiziert System. Auch hier weisen sie alle einen hohen Schweregradindex auf.
Die schwerwiegendste Sicherheitslücke in diesem Abschnitt könnte zu einer lokalen Eskalation von Berechtigungen führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind. In diesem Fall sind alle identifizierten Schwachstellen vom Typ EoP (Elevation of Privilege).
Schließlich gibt es, wie bereits erwähnt, im ersten kumulativen Patchpaket des Android Security Bulletins für den Monat Juni 2024 auch drei Updates für das Google Play System: aufgeführt als CVE-2024-31323, CVE-2024-31311 und CVE -2023- 21114, betrifft jeweils die Komponenten Healthfitness, Statsd und WiFi.
Die Schwachstellen der zweiten Sicherheitspatchstufe
Stattdessen wurden anlässlich der Veröffentlichung des Android Security Bulletins vom Juni 2024 mit dem zweiten Patchpaket 18 Schwachstellen behoben, die als gekennzeichnet sind Sicherheitspatch-Level 2024-06-05.
Das erste Update betrifft den Kernel und behebt eine als hochgradig eingestufte EoP-Schwachstelle (Elevation of Privilege): CVE-2024-26926.
Wenn es ausgenutzt wird, kann es zu einer lokalen Eskalation der Berechtigungen im Kernel führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind.
Alle Patches betreffen Closed-Source-Komponenten von Drittanbietern: Arm, Imagination Technologies, MediaTek und Qualcomm.
Daher werden die technischen Details und die Bewertung des Schweregrads dieser Schwachstellen direkt von den jeweiligen Komponentenherstellern in den entsprechenden Sicherheitsbulletins bereitgestellt.
So aktualisieren Sie Android-Geräte
Google hat seinen Partnern bereits einen Monat vor der Veröffentlichung des Sicherheitsbulletins alle Android-Sicherheitspatches zur Verfügung gestellt und sie im Repository des Android Open Source Project (AOSP) veröffentlicht.
Es ist wichtig, dass Updates so schnell wie möglich installiert werden: Je nach Gerät können einige oder alle automatisch über die Google Play-Dienste angewendet werden; Andere werden Ihnen jedoch möglicherweise in Form eines Updates von Ihrem Mobilfunkanbieter oder Gerätehersteller zugesandt, andere sind möglicherweise nicht erforderlich.
Bei günstigeren, weniger aktualisierten Android-Geräten werden möglicherweise nie Updates angezeigt.
In allen Fällen, insbesondere wenn die Geräte in Unternehmens- und Produktionsumgebungen eingesetzt werden, empfiehlt es sich, eine gute Sicherheitslösung zu installieren (noch besser, wenn sie in einen beliebigen Sicherheitsclient integriert ist). Mobile Geräteverwaltung zur zentralen Fernsteuerung von Geräten für intelligentes Arbeiten), die ein hohes Maß an Schutz der im Speicher gespeicherten Daten und vertraulichen Informationen gewährleisten können.
Um ein Android-Gerät zu aktualisieren, gehen Sie einfach zu Einstellungen/System/Systemaktualisierung und auswählen Überprüfen Sie die Updates. Alternativ können Sie auch auf das Menü zugreifen Einstellungen/Sicherheit und Datenschutz/Updates und auswählen Sicherheitsupdate.
Hinweis: Wenn das Gerät noch Android 10 oder früher verwendet, bedeutet dies, dass es ab September 2022 das Ende seiner Lebensdauer (EoL) erreicht hat (für Version 10) und keine Korrekturen für die oben genannten Mängel erhält.
Einige wichtige Updates werden jedoch möglicherweise weiterhin über die Systemaktualisierungen von Google Play verteilt: Um sie herunterzuladen und zu installieren, greifen wir auf das Menü zu Einstellungen/Sicherheit und Datenschutz/Updates und wählen Sie das Element aus Aktualisierung des Google Play-Systems.
Wie lange erhalten Sie Android-Updates?
Gemäß den Update-Richtlinien von Google müssen Geräte mindestens drei Jahre lang ab dem Datum der Einführung im Google Store Updates für die installierte Android-Version erhalten, während Sicherheitsupdates ab dem Datum der Einführung in der US-Version von Google drei Jahre lang garantiert werden Speichern .
Was jedoch die Geschwindigkeit der Veröffentlichung betrifft, so werden die Updates bei direkt im Google Store gekauften Geräten innerhalb weniger Wochen eintreffen, während es bei Modellen, die bei Drittanbietern gekauft wurden, länger dauern kann, wie auf der Seite angegeben Support-Website von Google.
