Im Trubel um die Veröffentlichung von Android 6.0 geht es beinahe schon unter: Mit der neuen Version werden auch Sicherheitslücken geschlossen – und zwar in beeindruckendem Ausmaß: Alleine im viel diskutierten Media Framework Stagefright bereinigt Google 28 kritische Probleme.

Wer suchet, der findet

"Kritisch" bedeutet in diesem Fall, dass Angreifer von außen Code einschmuggeln und mit den Rechten des Media-Frameworks zur Ausführung bringen können. Die aktuelle Häufung ergibt sich daraus, dass nach den ersten Berichten über Stagefright-Probleme offenbar sowohl extern als auch intern bei Google zahlreiche Sicherheitsforscher das Media-Framework genauer unter die Lupe genommen haben. Die dabei gefundenen Bugs verteilen sich den auch jeweils genau zur Hälfte auf diese beiden Gruppen.

Vermischtes

Doch mit den Stagefright-Fixes ist es noch nicht getan: Das aktuelle Update bereinigt nämlich noch vier weitere kritische Sicherheitslücken in diversen Bibliotheken, die zur Medienwiedergabe genutzt werden. Darunter auch jenen Bug in der libutils, der vor kurzem bekannt wurde, und der mittels manipulierter MP3/MP4-Dateien ausgenutzt werden kann. Dazu kommen dann noch fünf Sicherheitslücken, die Google mit Gefährdungsgrad "hoch" versieht, drei "moderate" und ein "niedrig" eingestuftes Problem.

Updates

All diese werden bei den aktuell noch unterstützten Geräten von Googles Nexus-Reihe mit dem Update auf Android 6.0 bereinigt. Eine Ausnahme bilden Nexus 4 und Nexus 10: Diese bekommen zwar keine Aktualisierung auf "Marshmallow", erhalten die erwähnten Fixes aber per Update für Android 5.1.1.

Patch Level

Da Google bei Sicherheitsaktualisierungen die Android-Version nicht verändert, hat man sich etwas anderes einfallen lassen, um den aktuellen Status der einzelnen Geräte zu kennzeichnen. In den Systeminformationen findet sich nun ein zusätzlicher Eintrag für den "Android Security Patch Level". Mit dem jetzigen Update steht dieser auf 1. Oktober 2015.

Abwarten

Und einmal mehr heißt es am Ende eines solchen Artikels: Mit dem aktuellen Update werden nur die Geräte von Google selbst geschützt. Wann – und ob – andere Hersteller nachziehen, ist weitgehend unbekannt. Zwar versprechen auch Samsung und LG mittlerweile monatliche Sicherheitsupdates, bisher scheint dieser Mechanismus aber noch nicht wirklich zuverlässig ins Laufen gekommen zu sein. (Andreas Proschofsky, 6.10.2015)