Categories: MobileMobile OS

Android – Google schließt mehr als 100 Lecks

Das Android Security Bulletin für April 2017 behebt insgesamt 102 Sicherheitslücken in dem Verbreiteten Mobilbetriebssystem. 32 dieser Lecks stuft Google als kritisch ein. Angreifer können damit remote Schadcode einschleusen und ausführen. Von diesen Fehlern betroffene Apps könen zudem besonders hartnäckig sein. Diese lassen sich unter Umständen nur durch ein vollständiges Flashen des Betriebssystems entfernen. Dabei gehen jedoch sämtliche Nutzerdaten verloren.

Die Entwickler haben die Fixes auf zwei Updates aufgeteilt, die Android auf die Sicherheitspatch-Ebene 1. April beziehungsweise 5. April anheben. Das erste Update beinhaltet 23 Fixes, wovon 6 als kritisch bewertet sind. Weitere 79 Schwachstellen beseitigt der Hersteller mit dem zweiten Update. Das werden Anwender jedoch, abhängig davon, von welchem Hersteller das betreffende Gerät stammt, nicht im April sondern frühestens mit dem Mai-Patchday erhalten.

Sechs kritische Lücken stecken erneut im Mediaserver. Sie lassen sich in der Regel mit speziell präparierten Mediendateien ausnutzen. Zudem sind die Komponenten CameraBase, Audioserver, Telefon und Factory Reset sowie die Bibliothek libskia angreifbar.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Mit der Sicherheitspatch-Ebene 5. April korrigiert Google überwiegend Bugs in Hardwarekomponenten von Broadcom, Qualcomm, MediaTek, HTC, Nvidia und Synaptics. Weitere zum Teil kritische Schwachstellen finden sich aber auch in diversen Subsystemen des Android-Kernels sowie in Freetype und der JavaScript-Engine V8.

Betroffen sind Android-Geräte mit den Versionen 4.4.4 KitKat, 5.x Lollipop, 6.x Marshmallow und 7.x Nougat. Zum zweiten Update nennt Google wie immer nur anfällige Nexus- und Pixel-Geräte: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel, Pixel XL und Pixel C. Sie betreffen allerdings auch Geräte anderer Hersteller. Einige der Anfälligkeit sind dem Bulletin zufolge schon seit 2014 bekannt, darunter mehrere kritische Lücken in nicht näher genannten Qualcomm-Komponenten.

Über alle Sicherheitslücken informierte Google seine Partner spätestens am 6. März. Trotz der Vorlaufzeit von einem Monat liegt derzeit nur ein Security Bulletin von Samsung vor. Das koreanische Unternehmen stopft im April 49 Löcher. Darunter sind die Fixes der Android-Sicherheitspatch-Ebene 5. März 2017, die in Samsungs März-Update nicht enthalten waren. Außerdem bringt Samsungs April-Patchday Fixes für neun Fehler in eigenen Komponenten.

In Deutschland hinkt Samsung hinter dem eigenen Update-Zeitplan her. Nutzer von Galaxy S7 und S7 Edge haben in diesem Jahr überwiegend nur das Nougat-Update erhalten, das lediglich die Sicherheitspatch-Ebene 1. Januar erreicht. Einzige Ausnahme sind Vodafone-Kunden, die Anfang März mit den Februar-Patches versorgt wurden. Auch anderen Samsung-Geräten wie der Galaxy-S6-Reihe fehlen aktuelle Sicherheitspatches.

Selbst das nicht kommerzielle und nur von einer Community gepflegte LineageOS verteilt Sicherheitspatches schneller als der Smartphone-Marktführer aus Südkorea. LineageOS-Geräte mit aktuellen Builds haben die Sicherheitspatch-Ebene 5. März. Allerdings muss LineageOS auch nicht die hohen Ansprüche eines kommerziellen Produkts erfüllen – auch wenn viele Nutzer der alternativen Android-Distribution diese als vollumfänglich alltagstauglich einstufen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

14 Stunden ago

Offizielle Kartellbeschwerde gegen OneDrive-Integration in Windows eingelegt

Beschwerdeführer ist der Cloud-Anbieter Nextcloud. Microsoft soll mit der Bündelung von OneDrive und Windows eine…

18 Stunden ago

Malware für ungepatchte Sicherheitslücke im Windows Installer im Umlauf

Ein von Microsoft veröffentlichte Patch lässt sich umgehen. Die Malware verschafft einem Angreifer Administratorrechte unter…

19 Stunden ago

Interview: Wie es um die Cloud-Sicherheit bei SAP steht

Cloud-Dienste erfahren bei SAP-Anwendern eine steigende Akzeptanz. Damit rückt auch die Cloud-Sicherheit für SAP-Nutzer stärker…

20 Stunden ago

Bericht: Apple stattet Augmented-Reality-Brille mit Rechenleistung eines Macs aus

Angeblich bietet er eine ähnliche Leistung wie ein M1-Mac. Die AR-Brille soll außerdem ohne Anbindung…

20 Stunden ago

Schwedische Behörden fordern EU-weite Regulierung für Bitcoin-Mining

Sie sehen im Energieverbrauch bei der Produktion von Kryptowährungen eine Gefahr für die Einhaltung der…

4 Tagen ago