![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
[English]Google Sicherheitsforscher haben im Project Zero eine Schwachstelle (CVE-2022-33917) im Kerneltreiber der in vielen Android-Ger\u00e4ten mit ARM CPU verwendeten Mali GPU offen gelegt. ARM hat die Schwachstelle zwar beseitigt, aber viele OEMs haben diesen Patch noch nicht auf ihre Android-Ger\u00e4te ausgerollt – und noch mehr Ger\u00e4te bekommen keine Android Sicherheitsupdates mehr. <\/p>\n
<\/p>\n
Am 6. Januar 2022 wurde im Kernel-Treiber der Mali GPU eine Schwachstelle CVE CVE-2022-22706 entdeckt. Dadurch kann die ARM CPU read-only-Seiten (RO) im Speicher beschreibbar machen. Ein nicht privilegierter Benutzer kann dadurch Schreibzugriffe auf Nur-Lese-Speicher-Seiten erhalten. Project Zero Sicherheitsforscherin Maddie Stone hat sich dann diesen Bereich genauer angesehen und fand weitere f\u00fcnf Schwachstellen. Die Sicherheitsforscher informierten den Hersteller ARM \u00fcber diese Schwachstellen, der diese auch in seinem Treiber behoben hat. <\/p>\n
Aber dieser Fix gelangte bisher nicht auf die Android-Ger\u00e4te der Endanwender. Smartphone-Hersteller wie Samsung, Xiaomi, Oppo und Google selbst hatte bis Anfang letzter Woche noch keine Patches zur Behebung der Sicherheitsl\u00fccken bereitgestellt, so die Sicherheitsforscher von Project Zero im Beitrag Mind the Gap<\/a>.<\/p>\n Im Juni 2022 hielt die Project Zero-Forscherin Maddie Stone auf der FirstCon22 einen Vortrag mit dem Titel 0-day In-the-Wild Exploitation in 2022\u2026so far<\/a>. Eine wichtige Erkenntnis war, dass etwa 50 % der beobachteten 0-Days in der ersten H\u00e4lfte des Jahres 2022 Varianten von bereits gepatchten Sicherheitsl\u00fccken waren. <\/p>\n Die Beobachtung der Sicherheitsforscher: Angreifer gehen den Weg des geringsten Widerstands, und solange die Hersteller bei der Behebung von Sicherheitsl\u00fccken keine gr\u00fcndliche Ursachenanalyse durchf\u00fchren, wird es sich auch weiterhin lohnen, Zeit in die Ausnutzung bekannter Schwachstellen zu investieren, statt nach neuen Schwachstellen zu suchen.<\/p>\n Hier zeigt sich ein Problem der Android-Landschaft: Eine Vielzahl der Ger\u00e4te erh\u00e4lt Sicherheitsupdates nur sehr versp\u00e4tet – und etwas \u00e4ltere Ger\u00e4te fallen aus der Versorgung mit Android-Sicherheitsupdates sogar ganz heraus. Auf der anderen Seite versuchen immer mehr Organisationen wie Banken, Krankenkassen etc. diese Ger\u00e4te f\u00fcr sensible Online-Operationen (Banking, Verwaltung von Gesundheitsdaten, Ausweisen, F\u00fchrerscheinen etc.) salonf\u00e4hig zu machen. Das kann auf lange Sicht nur schief gehen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Google Sicherheitsforscher haben im Project Zero eine Schwachstelle (CVE-2022-33917) im Kerneltreiber der in vielen Android-Ger\u00e4ten mit ARM CPU verwendeten Mali GPU offen gelegt. ARM hat die Schwachstelle zwar beseitigt, aber viele OEMs haben diesen Patch noch nicht auf ihre Android-Ger\u00e4te … Weiterlesen