Im Rahmen der Fehlerbehebungen vom Februar patcht Google eine Schwachstelle bei der Remotecodeausführung mit kritischem Schweregrad und einen Fehler bei der Offenlegung von Informationen.
Google hat ein Sicherheitsupdate für einen kritischen Fehler in seinem Android-Betriebssystem veröffentlicht, der es Hackern ermöglicht, Remotecode auf betroffenen Handys auszuführen, wodurch ein Gegner möglicherweise Fernzugriff auf das Gerät erhält. In einem Teil des am Montag veröffentlichten Februar veröffentlichten Android-Sicherheitsbulletins von Google wird auch vor einem zweiten kritischen Fehler gewarnt, durch den ein Hacker aus der Ferne Zugriff auf ein Android-Handgerät erhalten und an vertrauliche Daten gelangen könnte.
Der als CVE-2020-0022 verfolgte Fehler bei der Remote-Code-Ausführung (RCE) wirkt sich auf die Android-Versionen Pie (9.0) und Oreo (8.0, 8.1) aus. Derselbe CVE wirkt sich auch auf Googles neueste Android-Version, 10 genannt, aus. Bei Android 10 ist die Bewertung des Schweregrads jedoch moderat und die Auswirkungen sind kein RCE-Fehler, sondern eher eine Bedrohung durch die Dienstverweigerung.
Google sagte, dass ein Over-the-Air-Update und Firmware-Bilder für Google-Geräte für seine Pixel- und Nexus-Geräte verfügbar sind, und dass Drittanbieter ebenfalls Updates für die Geräte der Anbieter bereitstellen werden.
Was den RCE-Fehler betrifft, so sagte Google, dass ein Gegner den Fehler ausnutzen könnte, indem er "eine speziell gestaltete Übertragung sendet, um beliebigen Code im Rahmen eines privilegierten Prozesses auszuführen". Ein privilegierter Prozess umfasst die vertrauenswürdige Funktion des Geräts oder einer Anwendung eines Drittanbieters.
"Je nach den mit dieser Anwendung verbundenen Privilegien könnte ein Angreifer dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen", so eine Warnung des Center for Internet Security (CIS), einer sicherheitsorientierten Non-Profit-Organisation, die mit privaten, öffentlichen und akademischen Institutionen zusammenarbeitet. "Wenn diese Anwendung so konfiguriert wurde, dass sie weniger Benutzerrechte auf dem System hat, könnte die Ausnutzung der schwersten dieser Schwachstellen weniger Auswirkungen haben, als wenn sie mit administrativen Rechten konfiguriert wäre.
Zu den Angriffsvektoren könnte ein Bedrohungsakteur gehören, der ein Opfer auf eine Website lockt, die eine bösartige Mediendatei hostet oder eine solche per E-Mail oder als MMS-Textnachricht versendet.
Laut CIS gibt es keine Berichte über eine der Schwachstellen, die im Februar aktiv ausgenutzt wurden.
Der zweite kritische Fehler, der von Google als Teil des Sicherheitsupdates für Februar gepatcht wurde, ist eine Schwachstelle bei der Offenlegung von Informationen. Dieser als CVE-2020-0023 verfolgte Fehler ermöglicht Gegnern, wenn er ausgenutzt wird, Zugang zu vertraulichen Informationen in Verbindung mit bestimmten Anwendungen.
Einzelheiten zu den kritischen Lebensläufen sind noch nicht verfügbar. In der Regel werden Einzelheiten zu den Schwachstellen veröffentlicht, wenn die Patch-Level der Geräte einen sinnvollen Schwellenwert erreichen. Insgesamt enthält Googles Patch-Roundup für sein Android OS vom Februar 25 Fehler und Patches. Neunzehn dieser Schwachstellen werden als hoch eingestuft, vier weitere Fehler werden ebenfalls als hoch eingestuft, stehen jedoch in Zusammenhang mit den Qualcomm-Chipsätzen, die in Android-Geräten verwendet werden.