Nexus Patch Day: Google schließt kritische Lücken in Android

2. Februar 2016, 12:35
3 Postings

Bug im WLAN-Treiber kann zum Einschmuggeln von Schadcode genutzt werden – Update-Auslieferung angelaufen

Google scheint seinen Update-Rhythmus gefunden zu haben. Im Rahmen des Februar-Patch-Days für Nexus-Geräte schließt der Android-Hersteller wieder eine ganze Reihe von sicherheitsrelevanten Problemen. Darunter auch wieder einige, die als kritisch klassifiziert wurden.

WLAN-Bug

Das potentiell gefährlichste Problem lauert dabei im WLAN-Treiber von Broadcom. Über speziell zusammengestellte Kontrollnachrichten kann ein Angreifer Schadcode auf ein Android-Gerät einschmuggeln und mit Kernel-Rechten zur Ausführung bringen. Der wichtigste einschränkende Faktor bleibt dabei, dass Angreifer und Ziel im gleichen lokalen Netzwerk sein müssen, was gezielte Angriffe erschwert. Für Massenattacken könnte dies aber trotzdem ein für Angreifer interessanter Ausgangspunkt sein.

Und ewig grüßt...

Natürlich darf auch im Februar wieder die übliche kritische Sicherheitslücke im Mediaserver von Android nicht fehlen. Wie all seine Vorgänger könnte hier theoretisch Schadcode über in Webseiten eingebettete Audio- oder Video-Dateien eingeschmuggelt und mit dem Rechten des Mediaservers ausgeführt werden.

Root-Exploit

Weitere kritische Lücken wurden im Qualcomm Performance Module, dem WLAN-Treiber des selben Hersteller und in Debuggerd ausgeräumt. Allesamt hätten sie von einer lokalen App dazu genutzt werden können, Root-Rechte zu erlangen, und so Modifikationen am System vorzunehmen.

Ranking

Dazu kommen noch vier mit der Warnstufe "hoch" klassifizierte Bugs sowie eine "moderater" Fehler. Jener in den letzten Wochen viel diskutierte – aber unter Android eher theoretischer – Bug im Linux-Kernel wird mit dem aktuellen Update übrigens noch nicht ausgeräumt. Dies soll im März nachgeholt werden.

Informationen

Laut Google sind all die Informationen und Patches für die betreffenden Lücken bereits Anfang Jänner an die eigenen Partner weitergereicht worden, damit diese zeitgerecht Updates schnüren können. Die öffentliche Freigabe des Source Codes wurde mittlerweile ebenfalls vorgenommen.

Factory Images

Parallel dazu hat Google neue Factory Images für alle noch aktuell unterstützen Geräte der Nexus-Linie sowie das Pixel C veröffentlicht. Dies bedeutet üblicherweise, dass die Update-Auslieferung für die betreffenden Smartphones und Tablets begonnen hat. Da die Aktualisierung wie gewohnt in Wellen erfolgt, kann es allerdings einige Tage brauchen, bis alle Nutzer die neue Version erhalten. Bei Herstellern, die sich an Googles monatliches Sicherheit-Programm halten, lässt sich der Patch-Level in den Telefoninformationen abfragen. Mit der neuen Update-Welle wird dieser auf 1. Februar 2016 angehoben.

Nexus 10

Das älteste noch von Google unterstützte Gerät ist derzeit übrigens das Tablet Nexus 10. Dass dieses im Gegensatz zum ebenfalls vor mittlerweile mehr als drei Jahren vorgestellten Nexus 4 noch Updates erhält, hat dabei einen simplen Grund. Das Nexus 10 wurde von Google deutlich länger verkauft und zwar bis Mitte Oktober 2014. Damit ist es noch ein bis zwei Monate von Googles Update-Versprechen gedeckt, das nicht nur drei Jahre Updates nach dem Marktstart sondern auch mindestens 18 Monate Aktualisierungen nach dem Verkaufsende verspricht. (Andreas Proschofsky, 2.2.2015)

  • Von den abgebildeten Nexus-Geräten erhält nur mehr ein Teil Android-Updates.
    foto: andreas proschofsky / standard

    Von den abgebildeten Nexus-Geräten erhält nur mehr ein Teil Android-Updates.

Share if you care.