Android: Details zum September-2020-Patch veröffentlicht

von caschy Sep 8, 2020 | 2 Kommentare

Aufregender Tag heute bei Google. Android 11 ist veröffentlicht worden, das Google Pixel bekommt zusätzliche Funktionen, die Telefon-App neue Tricks – und dann gibt es noch neue Informationen zum September-2020-Patch im Android Security Bulletin, dieses Mal getrennt, denn der Patch als solches und Android 11 bekommen unterschiedliche Beiträge bei Google.

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Sicherheits-Patch-Level von 2020-09-05 oder höher beheben all diese Probleme. Die darunter, im konkreten Fall 2020-09-01, nur „notwendige“. Samsung ist beispielsweise flott dabei, allerdings sind deren Patches nicht allumfassend. Offiziell wird es so beschrieben: Das monatliche Bulletin verfügt über zwei Sicherheits-Patch-Ebenen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben.

Android-Partner werden laut Google mindestens einen Monat vor der Veröffentlichung über alle Probleme informiert. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im AOSP-Repository (Android Open Source Project) veröffentlicht.

Details zur Sicherheitslücke auf Sicherheits-Patch-Ebene 2020-09-01:

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen an die Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten. Sie betrifft mehrere Versionen:

CVE	Verweise	Art	Schwere	Aktualisierte AOSP-Versionen
CVE-2020-0074	A-146204120	EoP	Hoch	8,0, 8,1, 9, 10
CVE-2020-0388	A-156123285	EoP	Hoch	10
CVE-2020-0391	A-158570769	EoP	Hoch	9, 10
CVE-2020-0401	A-150857253	EoP	Hoch	8,0, 8,1, 9, 10
CVE-2020-0382	A-152944488	ID	Hoch	10
CVE-2020-0389	A-156959408	ID	Hoch	10
CVE-2020-0390	A-157598026	ID	Hoch	10
CVE-2020-0395	A-154124307	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0397	A-155092443	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0399	A-153993591	ID	Hoch	8,0, 8,1, 9, 10

Media Framework

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Auch hier ist Android ab Version 8 teils betroffen.

CVE	Verweise	Art	Schwere	Aktualisierte AOSP-Versionen
CVE-2020-0245	A-152496149	ID	Hoch	10
CVE-2020-0245	A-152496149	RCE	Kritisch	8,0, 8,1, 9
CVE-2020-0392	A-150226608	EoP	Hoch	9, 10
CVE-2020-0381	A-150159669	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0383	A-150160279	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0384	A-150159906	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0385	A-150160041	ID	Hoch	8,0, 8,1, 9, 10
CVE-2020-0393	A-154123412	ID	Hoch	9, 10

System

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Übertragung beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.

CVE	Verweise	Art	Schwere	Aktualisierte AOSP-Versionen
CVE-2020-0380	A-146398979	RCE	Kritisch	8,0, 8,1, 9, 10
CVE-2020-0396	A-155094269	ID	Kritisch	8,0, 8,1, 9, 10
CVE-2020-0386	A-155650356	EoP	Hoch	8,0, 8,1, 9, 10
CVE-2020-0394	A-155648639	EoP	Hoch	8,0, 8,1, 9, 10
CVE-2020-0379	A-150156492	ID	Hoch	8,0, 8,1, 9, 10

Details zur Sicherheitslücke auf Sicherheits-Patch-Ebene 2020-09-05:

Kernel

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem lokalen Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.

CVE	Verweise	Art	Schwere	Komponente
CVE-2020-0402	A-150693748 Upstream-Kernel [ 2 ]	EoP	Hoch	Speichersubsystem
CVE-2020-0404	A-111893654 Upstream-Kernel	EoP	Hoch	USB stick
CVE-2020-0407	A-153450752	ID	Hoch	F2FS

Weitere Verbesserungen sind systemspezifisch, betreffen beispielsweise Komponenten von Qualcomm oder MediaTek.

Auch Android 11 kommt mit geschlossenen Sicherheitslücken. Das ist wichtig zu wissen, da beispielsweise in der Beta befindliche Geräte bisher nicht alle Patches bekommen haben. Nutzer mit Android 11 können ab sofort hier alles einsehen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Andreas says:
8. September 2020 um 21:11 Uhr

„Ich würde“? Was soll das denn bedeuten?
- Stefan says:
  8. September 2020 um 21:18 Uhr
  
  Das ist (leider) die schlechte API Cloud Übersetzung von Google.
  
  Es steht für ID, was die Abkürzung von Information disclosure ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.