Android: Details zum September-2020-Patch veröffentlicht

Aufregender Tag heute bei Google. Android 11 ist veröffentlicht worden, das Google Pixel bekommt zusätzliche Funktionen, die Telefon-App neue Tricks – und dann gibt es noch neue Informationen zum September-2020-Patch im Android Security Bulletin, dieses Mal getrennt, denn der Patch als solches und Android 11 bekommen unterschiedliche Beiträge bei Google.

Das Android Security Bulletin enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Sicherheits-Patch-Level von 2020-09-05 oder höher beheben all diese Probleme. Die darunter, im konkreten Fall 2020-09-01, nur „notwendige“. Samsung ist beispielsweise flott dabei, allerdings sind deren Patches nicht allumfassend. Offiziell wird es so beschrieben: Das monatliche Bulletin verfügt über zwei Sicherheits-Patch-Ebenen, sodass Android-Partner die Flexibilität haben, eine Teilmenge von Schwachstellen, die auf allen Android-Geräten ähnlich sind, schneller zu beheben.

Android-Partner werden laut Google mindestens einen Monat vor der Veröffentlichung über alle Probleme informiert. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im AOSP-Repository (Android Open Source Project) veröffentlicht.

Details zur Sicherheitslücke auf Sicherheits-Patch-Ebene 2020-09-01:

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einer lokalen bösartigen Anwendung ermöglichen, die Anforderungen an die Benutzerinteraktion zu umgehen, um Zugriff auf zusätzliche Berechtigungen zu erhalten. Sie betrifft mehrere Versionen:

CVE Verweise Art Schwere Aktualisierte AOSP-Versionen
CVE-2020-0074 A-146204120 EoP Hoch 8,0, 8,1, 9, 10
CVE-2020-0388 A-156123285 EoP Hoch 10
CVE-2020-0391 A-158570769 EoP Hoch 9, 10
CVE-2020-0401 A-150857253 EoP Hoch 8,0, 8,1, 9, 10
CVE-2020-0382 A-152944488 ID Hoch 10
CVE-2020-0389 A-156959408 ID Hoch 10
CVE-2020-0390 A-157598026 ID Hoch 10
CVE-2020-0395 A-154124307 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0397 A-155092443 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0399 A-153993591 ID Hoch 8,0, 8,1, 9, 10

Media Framework

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Auch hier ist Android ab Version 8 teils betroffen.

CVE Verweise Art Schwere Aktualisierte AOSP-Versionen
CVE-2020-0245 A-152496149 ID Hoch 10
RCE Kritisch 8,0, 8,1, 9
CVE-2020-0392 A-150226608 EoP Hoch 9, 10
CVE-2020-0381 A-150159669 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0383 A-150160279 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0384 A-150159906 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0385 A-150160041 ID Hoch 8,0, 8,1, 9, 10
CVE-2020-0393 A-154123412 ID Hoch 9, 10

System

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem Remoteangreifer ermöglichen, mithilfe einer speziell gestalteten Übertragung beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.

CVE Verweise Art Schwere Aktualisierte AOSP-Versionen
CVE-2020-0380 A-146398979 RCE Kritisch 8,0, 8,1, 9, 10
CVE-2020-0396 A-155094269 ID Kritisch 8,0, 8,1, 9, 10
CVE-2020-0386 A-155650356 EoP Hoch 8,0, 8,1, 9, 10
CVE-2020-0394 A-155648639 EoP Hoch 8,0, 8,1, 9, 10
CVE-2020-0379 A-150156492 ID Hoch 8,0, 8,1, 9, 10

Details zur Sicherheitslücke auf Sicherheits-Patch-Ebene 2020-09-05:

Kernel

Die schwerwiegendste Sicherheitsanfälligkeit in diesem Abschnitt kann es einem lokalen Angreifer ermöglichen, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.

CVE Verweise Art Schwere Komponente
CVE-2020-0402 A-150693748
Upstream-Kernel [ 2 ]
EoP Hoch Speichersubsystem
CVE-2020-0404 A-111893654
Upstream-Kernel
EoP Hoch USB stick
CVE-2020-0407 A-153450752 ID Hoch F2FS

Weitere Verbesserungen sind systemspezifisch, betreffen beispielsweise Komponenten von Qualcomm oder MediaTek.

Auch Android 11 kommt mit geschlossenen Sicherheitslücken. Das ist wichtig zu wissen, da beispielsweise in der Beta befindliche Geräte bisher nicht alle Patches bekommen haben. Nutzer mit Android 11 können ab sofort hier alles einsehen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. „Ich würde“? Was soll das denn bedeuten?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.