Der Monat ist schon wieder ein paar Tage alt und pünktlich zum ersten Montag hat Google das Android-Sicherheitsupdate für März veröffentlicht. Wie üblich beginnt der Rollout auf die Pixel-Smartphones unmittelbar nach der Veröffentlichung und stopft auch dieses Mal eine ganze Reihe von Sicherheitslücken. Zusätzlich dürfen sich Nutzer der Pixel-Smartphones auf zwei (!) separate Update freuen: Das Pixel Feature Drop und Android 12L.
Stets zu Beginn der ersten Woche eines Monats rollt Google das Sicherheitsupdate für das Betriebssystem Android aus, das entdeckte Sicherheitslücken stopft oder Fehler behebt, die sich im Laufe der Zeit in die Plattform geschlichen haben. Ein großer Teil dieses Pakets besteht aus Bugfixes oder gestopften Lücken in den Hardware-Komponenten – allen voran sehr häufig von Qualcomm – die an die Nutzer weitergereicht werden. Doch ein Großteil der Nutzer wird die Updates niemals bekommen.
Für den Monat März wurden viele Bugs und Sicherheitslücken in Android gemeldet, wobei wie in jedem Monat die gleichen Komponenten im Mittelpunkt der Probleme bzw. gefunden Bugs stehen und das Ausführen von beliebigen Code ermöglichten – ein jahrelanger Klassiker. Aber auch im dritten Monat des Jahres 2022 gibt es eine ganze Reihe weiterer gestopfter Lücken in der System-Komponente sowie den Qualcomm-Komponenten. Insgesamt haben die Entwickler in diesem Monat 3 kritische sowie 35 mittelschwere Lücken entdeckt und gestopft.
Google veröffentlicht die Details zu den Sicherheitslücken und Bugs in den meisten Fällen erst nach dem Rollout des Updates, sodass diese in der Vergangenheit nicht ausgenutzt werden konnten, was auch in diesem Monat wie gewohnt mit Stolz vermeldet werden konnte.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke in der Media Framework-Komponente, die es einem Remoteangreifer ermöglichen kann, mithilfe einer speziell gestalteten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitsanfälligkeit möglicherweise auf ein betroffenes Gerät haben würde, vorausgesetzt, die Plattform- und Dienstminderungen werden für Entwicklungszwecke deaktiviert oder bei erfolgreicher Umgehung.
We have had no reports of active customer exploitation or abuse of these newly reported issues. Refer to the Android and Google Play Protect mitigations section for details on the Android security platform protections and Google Play Protect, which improve the security of the Android platform.
Update für die Pixel-Smartphones
Nutzer der Pixel-Smartphones dürfen sich auf nicht weniger als 80 behobene Probleme freuen, erhalten Android 12L und zusätzlich das Pixel Feature Drop. Alle Informationen zum Pixel Feature Drop findet ihr in aller Ausführlichkeit und mit vielen Screenshots in diesem Artikel. Wenn auch spät, ist es damit wieder ein spannender Monatsbeginn! Allerdings müssen Pixel 6-Nutzer in diesem Monat wieder länger warten…
Wer das Update über OTA nicht abwarten möchte, kann sich sowohl die Factory- als auch die OTA-Images für die Pixel-Smartphones direkt bei Google herunterladen. Details zu allen Lücken gibt es direkt unter folgenden Links, in denen die einzelnen Probleme mit den Komponenten aufgelistet und im Detail erklärt werden.
Security Bulletin: Android Security Bulletin März 2022 | Pixel Security Bulletin März 2022
Images zum Download: Factory Images | OTA Images