Der Android-Patchday im November bringt Aktualisierungen mit, die unter anderem zwei bereits angegriffene Sicherheitslecks abdichten.
Die Android-Updates für den November-Patchday hat Google jetzt freigegeben. Insgesamt 17 hochriskante Lücken schließt der Patch-Level 2024-11-01, dazu kommen noch vier Schwachstellen, die Google-Play-Systemupdates korrigieren. Der Patchlevel 2024-11-05 bessert noch eine kritische Lücke in Qualcomm-Closed-Source-Komponenten sowie 22 Lücken mit hohem Risiko in Dritthersteller-Treibern und -Komponenten, die von den Herstellern der eingesetzten SoCs stammen.

Die Entwickler von Google schreiben im Security-Bulletin zum Patchday, dass die gravierendste mit den Updates geschlossene Sicherheitslücke in der System-Komponente lauert. Sie hat ein hohes Risiko und kann Angreifern das Ausführen von Code aus dem Netz ohne zusätzliche Ausführungsrechte erlauben. Sie gehört zu dem Patch-Level 2024-11-01. Darin schließt Google zudem sieben Sicherheitslücken im Framework, einige betreffen alle Android-Versionen: 12, 12L, 13, 14 und 15. Insgesamt zehn Lecks stopfen die Programmierer zudem in der System-Komponente. Die vier Lücken, die die Google Play System-Updates ausbessern, zählen zu de Project-Mainline-Komponenten und betreffen die Module Documents-UI, Mediaprovider, Permission-Controller und WiFi.

Erweiterter Patchlevel

Der Patchlevel 2024-11-05 korrigiert noch weitere sicherheitsrelevante Fehler. Zwei hochriskante Lecks sind im Kernel und betreffen die Net- und Binder-Komponente. Der LTS-Kernel, der zu Android 12 gehört, wurde zudem auf die Versionen 5.4.274 respektive 4.19.312 aktualisiert. Sicherheitslücken bessert die neue Software zudem in den PowerVR-GPUs von Imagination Technologies sowie in Mediatek- und Qualcomm-Komponenten aus.

Auch die Hersteller der Prozessoren und SoCs, die in Android-Smartphones zum Einsatz kommen, haben eigene Sicherheitsmitteilungen veröffentlicht. Qualcomm listet etwa die Sicherheitslücken auf, die mit Patchlevel 2024-11-05 geschlossen werden, ergänzt jedoch weitere Informationen wie betroffene Prozessoren. Samsung führt eine längere Reihe an CVE-Schwachstelleneinträgen auf, die das Security Maintenance Release (SMR) im November korrigiert. Zudem hat Mediatek eine Liste an Sicherheitslücken zusammengestellt, die im November geschlossen werden – davon sind lediglich zwei als hohes Risiko eingestuft, zahlreiche erhalten die Einordnung als mittlerer Bedrohungsgrad.

Wann die Updates auf den einzelnen Smartphones ankommen, lässt sich nicht sagen. In der Regel erhalten die Flaggschiff-Modelle der Hersteller in den ersten Monaten noch monatliche Sicherheitsupdates, hier führt Google die Liste der vorbildlichen Update-Lieferanten an. Bei Samsung etwa folgen nach einiger Zeit nur noch quartalsweise Aktualisierungen – ob sich das mit den Update-Versprechen für sieben Jahre für neuere Modelle ändert, wird sich zeigen. Insbesondere No-Name-Anbieter werfen jedoch lediglich günstige Smartphones auf den Markt, ein Update dürfen Käufer dafür nicht erwarten.

Die November-Updates für die Pixel-Smartphones von Google stehen zum Meldungszeitpunkt allerdings noch nicht bereit.
Am Oktober-Patchday hatte Google in Android unter anderem Schwachstellen in der System-Komponente ausgebessert, die Codeschmuggel aus dem Netz ermöglichten.