Android Patch Day: Google schließt kritische Sicherheitslücken

8. März 2016, 10:45
11 Postings

Updates für Nexus-Geräte angelaufen – Erneut schweres Problem im Mediaserver mit dabei

Jeden ersten Montag im Monat ist Patch Day bei Google: Mit einer neuen Android-Version schließt das Unternehmen eine ganze Reihe von Sicherheitslücken in seinem Betriebssystem. Darunter auch wieder sechs Stück, die das Unternehmen mit der höchsten Warnstufe "kritisch" versehen hat.

Und täglich grüßt das Murmeltier

Die gefährlichste dieser Lücken befindet sich dabei einmal mehr im Mediaserver von Android. Angreifer könnten von außen Code einschmuggeln und mit den Rechten des Mediaservers zur Ausführung bringen. Ein konkreter Angriff könnte etwa über eine manipulierte Webseite erfolgen, in die eine Mediendatei eingebettet ist, die die Lücke ausnutzt. Ist die Attacke erfolgreich könnte dann auf lokale Mediendateien zugegriffen werden.

Details

Eine weitere kritische Lücke haben Google-interne Untersuchungen in der libvpx gefunden, die für die Wiedergabe von Video-Dateien zuständig ist, die mit VP8 / VP9 kodiert wurden. Eine lokale Rechteausweitung ist wiederum über einen Fehler im WLAN-Treiber für MediaTek-Chips möglich, Angreifer können anschließend Code mit Kernel-Rechten ausführen. Ebenfalls geschlossen wurde eine viel diskutierte Lücke im Linux-Kernel, von der allerdings nur ein sehr kleiner Teil aller Android-Gerät betroffen sind.

Update-Welle

Parallel zur Veröffentlichung des Security Bulletin hat Google auch mit der Auslieferung entsprechender Updates für die eigenen Nexus-Geräte und das Pixel C begonnen. Die Factory Images zur Neuinstallation der Smartphones und Tablets wurden ebenfalls bereits aktualisiert.

Blackberry

Als besonders flott erweist sich zudem Blackberry: Der Hardwarehersteller hat bereits ein Update für sein Android-Smartphone Priv veröffentlicht, dass all die erwähnten Sicherheitsverbesserungen beinhaltet. Möglich wird dies dadurch, da Google seine Partner schon mehrere Wochen zuvor über die anstehenden Updates informiert und auch entsprechende Patches liefert.

Überprüfung

Auf Geräten mit Android 6.0 "Marshmallow" lässt sich relativ einfach herausfinden, ob man das aktuelle Update bereits bekommen hat. In den Systeminformationen findet sich hier ein Punkt namens "Security Patch Level". Mit der jetzigen Aktualisierung wird dieser auf 1. März 2016 angehoben. (Andreas Proschofsky, 8.3.2016)

  • Googles Pixel C bekommt ebenfalls ein Update.
    foto: tony avelar / ap

    Googles Pixel C bekommt ebenfalls ein Update.

Share if you care.