cnt
Android-Hersteller lassen Lücke über Monate ungepatcht
Quelle: Depositphotos

Android-Hersteller lassen Lücke über Monate ungepatcht

Eine Sicherheitslücke im Kernel-Treiber der Mali GPU ist bereits seit Anfang 2022 bekannt und wird auch in freier Wildbahn ausgenutzt. Dennoch reagieren Hersteller von Android-Geräten bisher noch nicht.
28. November 2022

     

Die Sicherheitslücke mit der Bezeichnung CVE-2022-22706, die im Kernel-Treiber der Mali GPU klafft, ist bereits seit dem 6. Januar 2022 bekannt. Und obwohl Cyberkriminelle damit Schreibzugriff auf Nur-Lese-Speicher (Read Only Memory, ROM) erhalten, die Lücke in freier Wildbahn ausgenutzt wird und Sicherheitsforscher bereits mehrfach davor warnten, sind die Android-Geräte der Endanwender meist nicht mit den nötigen Patches ausgestattet.

Die Mali GPU kommt in zahlreichen Android-Geräten mit ARM CPU zum Einsatz. Aufgrund einer Schwachstelle im Kernel-Treiber der GPU kann die ARM CPU Read-Only-Seiten im Speicher beschreibbar machen. Genau dies ermöglicht Cyberkriminellen den Zugriff auf den Nur-Lese-Speicher. Während ARM die Schwachstelle im Kernel-Treiber seiner GPU behoben hat, gelangten die nötigen Patches aber nicht auf die Android-Geräte der Endanwender. Wie einem Beitrag der Sicherheitsforscher von Project Zero zu entnehmen ist, haben weder Samsung, Xiaomi, Oppo noch Google bis Anfang letzter Woche die nötigen Patches für ihre Kunden bereitgestellt.


Gemäss dem Beitrag der Sicherheitsforscher handelt es sich dabei nicht um einen Einzelfall. Eine Vielzahl der Android-Geräte erhält Sicherheitsupdates nur sehr verspätet. (rf)


Weitere Artikel zum Thema

Wichtige Sicherheitsupdates für Android veröffentlicht

10. November 2022 - Google hat für Android Sicherheitsupdates ausgerollt, nachdem kritische Schwachstellen entdeckt worden waren. Auch anderen Hersteller ziehen nach.

Android-Apps mit Phishing-Nebeneffekt

2. November 2022 - Forscher von Malwarebytes haben in Googles Play Store vier bösartige Android-Apps entdeckt. Sie stammen allesamt vom gleichen Entwickler, der schon früher durch unsaubere Praktiken aufgefallen ist.

Google meldet grössten DDoS-Angriff aller Zeiten

21. August 2022 - Insgesamt 69 Minuten dauerte der bis anhin grösste je registrierte Denial-of-Service-Angriff. In der Spitze wurden pro Sekunde 46 Millionen Anfragen gemessen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER