Categories: MobileMobile OS

Android bekommt Patches für 24 kritische Lecks

Mit dem Android Security Bulletin für November adressiert Google insgesamt 83 Schwachstellen in Googles Mobilbetriebssystem. 24 dieser Lecks stuft der Anbieter als kritisch ein. Darüber kann ein Angreifer unter Umständen remote Schadcode in einen privilegierten Prozess einschleusen, ausführen oder gar auf durch die Trusted Execution Environment gesicherte Daten zugreifen.

Das Partnerökosystem hat Google bereits am 20. Oktober über die anstehenden Updates informiert.
Diese verteilen sich auf zwei Updates mit den Sicherheitspatch-Ebenen 1. November und 5. November. Darüber hinaus bietet Google noch einen ergänzenden Fix mit der Sicherheitspatch-Ebene 6. November an, der erst nach dem 20. Oktober entwickelt wurde. In den Updates für die eigenen Nexus-Geräte ist er jedoch nicht enthalten.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Geräte, die nun von ihren Herstellern auf die Sicherheitspatch-Ebene 1. November angehoben werden, erhalten Fixes für 28 Anfälligkeiten. Darunter sind Fehler in den Komponenten Mediaserver, der Zip-Bibliothek lipzipfile, Skia, der JPEG-Bibliothek, OpenJDK, AOSP Launcher, Account Manager, Bluetooth und der Android Runtime. Sie stecken in den Android-Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 und 7.0.

Zur Sicherheitspatch-Ebene 5. November nennt Google lediglich betroffene und noch unterstützte Google-Geräte wie Nexus 5X, 6, 6P, 9, Nexus Player, Android One und Pixel C. Einige der Anfälligkeiten bedrohen allerdings auch die erst kürzlich vorgestellten neuen Google-Smartphones Pixel und Pixel XL mit Android 7.1 Nougat. Dazu zählen Bugs im Kernel-Dateisystem, im Kernel-SCSI-Treiber, im Kernel-USB-Treiber, im Kernel-Media-Treiber und im Qualcomm-Bootloader. Letzterer erlaubt es, Schadcode mit Kernelrechten auszuführen. Eine Malware, die diese Schwachstelle nutzt, kann zudem nur durch das erneute Flashen des Betriebssystems entfernt werden.

Von den 54 Sicherheitslücken des zweiten Patches stuft Google 21 als kritisch ein. Von 23 Fehlern geht ein hohes Risiko aus. Darunter sind zahlreiche Schwachstellen in Treibern von Qualcomm und Nvidia.

Das dritte Update mit der Sicherheitspatch-Ebene 6. November werden die meisten Nutzer wohl erst im Dezember erhalten. Es schließt die seit 19. Oktober öffentlich bekannte kritische Lücke mit der Kennung CVE-2016-5195. Dabei handelt es sich um eine Privilege Escalation Vulnerability im Linux-Kernel. Ein Angreifer erhält unter Umständen Zugriff auf normalerweise schreibgeschützte Speicherbereiche. Das wiederum beschert ihm höhere Rechte. Da es möglich ist, die sogenannte Copy-on-Write-Sperre (COW) zu durchbrechen, wird der Bug auch als “Dirty Cow” bezeichnet.

Neben Google haben auch Blackberry, LG und Samsung Sicherheitsupdates für einige ihrer Android-Smartphones angekündigt. LG verteilt seine Patches, die insgesamt 94 Sicherheitslücken abdecken und die Sicherheitspatch-Ebene 1. November einschließen, schon seit vergangener Woche.

Blackberrys Sicherheitsupdate bringt Fixes für 61 Schwachstellen. Darunter ist auch die Dirty-Cow-Lücke (Patch-Ebene 6. November), die Google in seinen eigenen Geräten offen lässt.

Samsung wiederum stopft 60 Löcher in Android. Das Sicherheitsupdate der Koreaner beseitigt aber auch 14 Anfälligkeiten, die nur die eigenen Geräte betreffen. Zur Sicherheitspatch-Ebene macht Samsung wie immer keine Angaben. Im vergangenen Monat erhielten die Galaxy-Smartphones nur die auf den 1. Oktober datierten Patches.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Schwedische Behörden fordern EU-weite Regulierung für Bitcoin-Mining

Sie sehen im Energieverbrauch bei der Produktion von Kryptowährungen eine Gefahr für die Einhaltung der…

22 Stunden ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

2 Tagen ago

Gartner: Smartphonemarkt schrumpft 6,8 Prozent im dritten Quartal

Samsung behauptet sich als größter Smartphonehersteller vor Apple und Xiaomi. Samsung ist aber auch der…

2 Tagen ago

Fehler in MediaTek-Prozessoren erlauben Abhören von Android-Smartphones

Check Point entdeckt insgesamt vier Schwachstellen. Für drei Anfälligkeiten stellt MediaTek bereits Patches zur Verfügung.…

2 Tagen ago

Bericht: Apple fertigt eigene 5G-Modems bei TSMC

In iPhones sollen die Chips ab 2023 verbaut sein. Mit dem Schritt würde Apple seine…

2 Tagen ago

Samsung baut Chipfabrik in den USA für 17 Milliarden Dollar

Sie entsteht im US-Bundesstaat Texas. Samsung fertigt dort Logik-Chips für 5G, AI und High-Performance Computing.…

3 Tagen ago