Google veröffentlicht Android-Sicherheitsupdate für hochgradige Schwachstelle

Google hat eine kritische Zero-Day-Schwachstelle in seinem Android-Betriebssystem identifiziert und gepatcht, die aktiv in der Wildnis ausgenutzt wird.

Die hochgradige Schwachstelle, die als CVE-2024-32896 (CVSS-Score: 7.8) verfolgt wird, wird als hochgradige Erhöhung von Berechtigungen (EoP) im Pixel-Firmware klassifiziert.

Eine Erhöhung von Berechtigungen tritt auf, wenn ein Benutzer oder eine App mit niedrigeren Berechtigungen Zugriff auf Funktionen oder Inhalte erhält, die normalerweise Benutzern oder Apps mit höheren Berechtigungen vorbehalten sind. Wenn sie ausgenutzt wird, kann ein Angreifer Aktionen wie das Stehlen von Daten oder das Installieren von Malware durchführen.

CVE-2024-32896 ist mit einem Logikfehler im Android-Framework-Komponenten verbunden, der zu einer lokalen Erhöhung von Berechtigungen führen könnte, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind, heißt es in der Beschreibung des Fehlers in der NIST National Vulnerability Database (NVD).

Allerdings ist Benutzerinteraktion erforderlich, um diese Schwachstelle auszunutzen.

Diese Schwachstelle wurde erstmals im Sicherheitsupdate für Pixel im Juni gemeldet, als ein Patch nur für die Google-eigenen Pixel-Geräte veröffentlicht wurde. Der Einfluss der CVE-2024-32896-Schwachstelle beschränkt sich jedoch nicht auf Pixel-Geräte und umfasst das gesamte Android-Ökosystem.

„Es gibt Hinweise darauf, dass CVE-2024-32896 möglicherweise unter begrenzter, gezielter Ausnutzung steht“, schrieb Google in seinem Android-Sicherheitsbulletin vom September 2024.

Wie gewohnt hat Google keine technischen Informationen darüber bereitgestellt, wie die Schwachstelle in der Wildnis ausgenutzt wird.

Um sich gegen potenzielle Ausnutzungen zu schützen, wird allen Android-Nutzern dringend empfohlen, die Sicherheitsupdates sofort auf ihren Geräten zu installieren.

Um die neuesten Sicherheitsupdates zu installieren, gehen Sie zu Einstellungen > System > Softwareupdates > Systemupdate.

Alternativ können Sie zu Einstellungen > Sicherheit & Datenschutz > System & Updates > Sicherheitsupdate gehen und auf die Schaltfläche „Nach Update suchen“ klicken.

Neben der Schwachstelle CVE-2024-32896 hat Google auch neun weitere hochgradige Schwachstellen im Android-Framework und -System im Sicherheitsupdate vom September 2024 gepatcht.