Update: Google schließt 32 Sicherheitslücken in Android

5. Mai 2016, 13:17
24 Postings

Sechs davon als "kritisch" bezeichnet – Updates für Nexus-Geräte in Auslieferung

Angesichts all der Aufregung um die Stagefright-Lücken hat Google im Vorjahr einen fixen Update-Rhythmus für Android eingeführt. Mit monatlichen Sicherheitsaktualisierungen will man eine Vorbildfunktion in der Android-Welt entfalten, und so auch mehr Transparenz in Hinblick auf die Bereinigung von sicherheitsrelevanten Fehlern schaffen. Vor kurzem wurde nun das neueste "Android Security Bulletin" veröffentlicht, und dabei sind dieses Mal besonders viele Bugs zusammengekommen.

Lücke neben Lücke

Ganze 32 Sicherheitslücken schließt Google mit dem Mai-Update, sechs davon versieht der Softwarehersteller selbst mit der höchsten Warnstufe "kritisch". Das schwerwiegendste Problem bildet einmal mehr ein Fehler im Mediaserver von Android, über den theoretisch von Außen Schadcode auf ein ungeschütztes Smartphones oder Tablet eingeschmuggelt und mit den Rechten des Mediaservers ausgeführt werden kann. Auf diese Weise könnte ein Angreifer etwa Zugriff auf laufende Audio oder Video-Streams erhalten.

Zusätzliche Details

Weiter kritische Fehler finden sich im Android Debugger, der Qualcomm TrustZone oder dem WLAN-Treiber des selben Herstellers. Erstmals listet Google in seinem Advisory exakt welche Nexus-Geräte von einem Problem betroffen sind, so betrifft etwa eine der kritischen Lücken – eine Rechteausweitung im Nvidia-Treiber – nur das Nexus 9. Eine weitere Premiere: Erstmals ist ein Fehler angeführt, von dem kein einziges Nexus-Gerät betroffen ist, sondern der nur bei Drittherstellern zu finden ist.

Update

Parallel zur Veröffentlichung des Security Bulletin hat Google mit der Auslieferung entsprechender Updates für alle derzeit noch aktuellen Nexus-Geräte sowie des Pixel C begonnen. Dabei gibt es diesen Monat ebenfalls eine Änderung: Der Support für das rund dreieinhalb Jahre alte Nexus 10 wurde nämlich endgültig eingestellt, für dieses folgen nun also keine Aktualisierungen mehr. Für alle anderen gilt: Wie immer kann es einige Tage brauchen, bis das Update auch bei allen Geräten ankommt, da Google die Aktualisierung in Wellen ausliefert.

Vorabinformation

Die Android-Partner wurden über all die aktuellen Lücken bereits am 4. April informiert, und haben zu diesem Zeitpunkt auch bereits entsprechende Patches erhalten. Wann diese in Updates eingearbeitet werden, verbleibt aber bei den einzelnen Herstellern. Bei einigen aktuellen Android-Geräten lässt sich der Sicherheits-Patch-Level in den Systeminformationen ablesen, mit dem aktuellen Update wurde er auf 1. Mai 2016 erhöht. (Andreas Proschofsky, 5.5.2016)

  • Artikelbild
    grafik: google
Share if you care.