Erneut hat es Google wieder versäumt, schon vorliegende Patches bekannter Lücken an seine eigenen Pixel-Geräte zu verteilen. Davon sind dann nicht nur Geräte von Samsung, sondern auch von Xiaomi und Oppo betroffen.
Wieder einmal warnen die Sicherheitsforscher von Googles Project Zero vor einer Sicherheitslücke in vielen Android-Geräten, für die eigentlich schon länger ein Patch-Update bereitsteht. Dieser Update sei aber bisher sei aber bisher noch nicht von den Android-Geräteherstellern übernommen oder gar an die Nutzer ausgespielt worden. Davon betroffen sind der Meldung zufolge Geräte von Samsung, Xiaomi, Oppo und – man mag es nicht glauben – auch die Pixel-Serie von Google.
Lücke entschärft, aber nicht upgedatet
Die Sicherheitslücken (CVE-2022-36449) steckt im Treiber von ARM für dessen Mali GPUs, der nicht im Hauptzweig des Linux-Kernels gepflegt wird.
Bei diesen Lücken handelt es sich technisch um typische Speicherfehler. Zum Potenzial der Lücken liest man: “Ein Angreifer mit nativer Codeausführung in einem App-Kontext könnte vollen Zugriff auf das System erhalten, das Berechtigungsmodell von Android umgehen und einen umfassenden Zugriff auf Benutzerdaten möglich machen.”
Im Blogeintrag der Sicherheitsforscher heißt es, dass die gefundenen und gemeldeten Lücken zunächst vermutlich zur Nutzung in Malware gehandelt worden seien.
Gerade deshalb sollte eigentlich das zeitnahe Schließen der Lücken sehr wichtig sein – die Firma ARM hat auch umgehend reagiert. Nachfolgende Tests bei den Geräteherstellern hätten aber klar gezeigt, dass diese die schon seit August bereitstehenden Updates von ARM immer noch nicht übernommen hätten.