Mit dem Android Security Bulletin für März 2025 dokumentiert Google, wie üblich am ersten Montag des Monats, die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller. Für seine Pixel-Geräte veröffentlicht Google einen separaten Bericht mit gestopften Sicherheitslücken – oft jedoch mit einigem Verzug.
Zwei Patch Level im Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei sogenannte Patch Level. Das erste, 2025-03-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2025-03-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2025-03-01 mit einer 0-Day-Lücke und mehreren kritischen Lücken
Für das Patch Level 2025-03-01 weist das Android Security Bulletin im März 30 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Davon stecken neun im Framework und 21 im System. Google stuft zehn Schwachstellen als kritisch ein, acht davon sind RCE-Lücken (RCE: remote code execution). Die übrigen Sicherheitslücken sind als hohes Risiko ausgewiesen. Unter diesen ist auch die EoP-Schwachstelle CVE-2024-43093 (EoP: Elevation of Privilege), die laut Google bereits für Angriffe ausgenutzt wird. Google spricht hier üblicherweise von „Anzeichen für begrenzte, gezielte Ausnutzung“.
Über Google Play werden im Rahmen des Projekts Mainline im März Sicherheits-Updates verteilt, um die EoP-Lücke CVE-2024-43093 in Schnittstelle für Dateizugriffsberechtigungen (DocumentsUI) zu schließen. Diese Updates sind für Geräte gedacht, die keine Herstellerunterstützung mehr erhalten.
Patch Level 2025-03-05 mit einer 0-Day-Lücke
Für das Hardware-nahe Patch Level 2025-03-05 führt das März-Bulletin 13 gestopfte Lücken auf. Auch hier ist eine 0-Day-Lücke darunter. Es handelt sich um die Schwachstelle CVE-2024-50302 im Kernel. Betroffen ist die Subkomponente HID (Human Interface Device, Eingabegeräte). Google gibt an, es gebe Hinweise, dass die Lücke für „begrenzte, gezielte“ Angriffe ausgenutzt würde. Konkreter wird Google selten.
Wie diese erbt Android auch zwei weitere als hohes Risiko ausgewiesene Kernel-Schwachstellen von Linux („upstream kernel“). Alle Schwachstellen sind als hohes Risiko ausgewiesen. Sie verteilen sich in diesem Monat auf Komponenten der Chipzulieferer Mediatek und Qualcomm.
Noch kein Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte ist noch nicht erschienen. Google veröffentlicht es oft erst Tage nach dem Android Security Bulletin.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, zuweilen sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher. (PC-Welt/kk)