Google schließt mehrere kritische Android-Lücken für Nexus-Geräte

10. September 2015, 08:25
39 Postings

September-Patch-Day bereinigt insgesamt acht sicherheitsrelevante Fehler

Im Gefolge der Diskussionen über mehrere schwere Sicherheitslücken im Android Media Framework Stagefright, hatte Google vor einigen Wochen ein Versprechen abgegeben: Künftig soll es monatliche Sicherheitsupdates für die eigenen Nexus-Geräte geben – immerhin sind diese die einzigen, für die Google selbst für die Update-Auslieferung zuständig ist. Nun löst der Softwarerhersteller dieses Versprechen ein.

Updates

Google hat mit der Auslieferung von neuen Softwareversionen für alle aktuell noch unterstützten Nexus-Geräte begonnen. Diese schließen insgesamt acht Sicherheitslücken, wovon zwei als kritisch angesehen werden, wie Google im Nexus Security Bulletin ausführt.

Kritische Lücken

Beide kritischen Probleme waren bereits in den letzten Wochen bekannt geworden. Bei dem einen handelt es sich erneut um eine Stagefright-Lücke, ein unvollständiger Fix hatte hier bei der letzten Update-Runde ein Problem unbereinigt gelassen. Beim zweiten schweren Bug handelt es sich um einen Fehler im Linux-Kernel, der in den letzten Wochen zunehmend von Tools genutzt wurde, um Root auf aktuellen Android-Versionen zu erreichen. Potentiell hätte dieses Problem also dazu genutzt werden können, um ein Android-System mithilfe einer modifizierten App vollständig zu übernehmen – so man denn die Nutzer dazu bringen kann diese zu installieren und die entsprechenden Sicherheitswarnungen zu ignorieren.

Weitere Bugs

Zu den erwähnten Fehlern kommen noch vier, die Google als "hoch" einstuft. Darunter welche in Binder und Keystore, mit der Apps Code mit ihnen eigentlich nicht zustehenden Rechten ausführen hätten können. Zudem wird ein Fehler bereinigt, über den eine App die seit einigen Android-Versionen obligatorischen Warnhinweise vor Premium-SMS austricksen konnte.

Verfügbarkeit

Die Updates werden derzeit an Nexus 4,5,6,7 (2013) sowie die Tablets Nexus 9 und 10 verteilt. Das Nexus 7 (2012) wird hingegen offenbar nicht mehr bedient, dieses liegt mittlerweile außerhalb jenes 3-Jahres-Rahmen für den Google Sicherheitsupdates verspricht. Wie von Google gewohnt, wird das Update in Wellen ausgeliefert, es kann also einige Tage brauchen, bis alle Nutzer die neue Version tatsächlich erhalten haben. Die neue Build-Nummer ist bei allen Nexus-Geräten nun LMY48M, die Versionsnummer 5.1.1 bleibt hingegen unverändert.

Patches und Ausblick

Parallel zur Veröffentlichung der OTAs wurden auch die zugehörigen Patches im Android Open Source Project (AOSP) veröffentlicht. Damit können nun alternative Android-Anbieter ihre eigene Software absichern. Google-Partner wie Samsung oder LG wurden wie gewohnt bereits im Vorfeld informiert. Die beiden erwähnten Unternehmen haben sich ebenfalls monatlichen Sicherheitsupdates verschrieben, sollten also zumindest für ihre Top-Geräte bald mit Aktualisierungen nachziehen. Dies ändert freilich nichts daran, dass der allergrößte Teil der im Umlauf befindlichen Android-Geräte wohl nie ein Update erhalten wird. (Andreas Proschofsky, 10.9.2015)

  • Android-Geräte gibt es viele, zeitgerechte Updates hingegen nur bei wenigen.
    grafik: google

    Android-Geräte gibt es viele, zeitgerechte Updates hingegen nur bei wenigen.

Share if you care.