Android: Juni-Update schließt kritische Lücken in Qualcomm-Treibern

8. Juni 2016, 14:51
24 Postings

Auch wieder zahlreiche Probleme im Mediaserver behoben – Samsung liefert eigenes Security Bulletin

Im monatlichen Rhythmus bereinigt Google Sicherheitslücken in seinem mobilen Betriebssystem Android. Nun ist es wieder einmal so weit, das Juni-Update ist dabei vor allem durch Probleme in den proprietären Treibern des Prozessorherstellers Qualcomm gekennzeichnet.

Treiberprobleme

Sechs solch kritischer Fehler weist das Security Bulletin aus, betroffen sind Sound-, GPU- und WLAN-Treiber des Unternehmens. Alle eint sie, dass ein Angreifer darüber Root-Rechte erlangen könnte, und somit die Systemsoftware dauerhaft verändern könnte – etwa um Schadsoftware einzubringen.

Details

Wie immer konzentriert sich Google in seiner Mitteilung auf die eigenen Nexus-Geräte, und weist dabei aus, welche Modelle jeweils von einem einzelnen Fehler betroffen sind. Insofern lohnt ein Blick auf die Details zu jedem einzelnen Advisory, so sind etwa Nexus 9 und Pixel C von keinem der erwähnten Bugs betroffen, da sie keinen Qualcomm-Chip (sondern einen von Nvidia) einsetzen.

Mediaserver

Allerdings gibt es auch einige Lücken, die alle aktuellen Nexus-Geräte – und wohl auch den allergrößten Teil anderer Android-Smartphones und -Tablets – betreffen. Einmal mehr wurde eine kritische Lücke im Mediaserver geschlossen, über die Schadcode von außen eingeschmuggelt werden könnte. Selbiges geht auch "dank" einer Lücke in der libwebm, Angriffsvektor könnte hier jeweils ein in eine Webseite eingebettetes Video sein.

Offene Fragen

Dazu kommen noch eine Fülle an Lücken, die Google "nur" mit Gefährdungsgrad "hoch" bis "moderat" versieht. Bei jeder davon weist Google aus, welche Android-Versionen betroffen sind. Allerdings geht man in der Auflistung nur bis zur Version 4.4 zurück, da man für ältere Releases keinen Support mehr bietet. Insofern lässt sich aus dieser Angabe kein präziser Schluss ziehen, wie viele Android-Geräte tatsächlich jeweils betroffen sind. Allerdings sollte man bei Geräten, die eine Software älter als Android 4.4 haben, ohnehin davon ausgehen, dass sich zahlreiche kritische Lücken in dieser finden.

Updates

Parallel zur Veröffentlichung des Security Bulletin hat Google mit der Auslieferung von Updates für die derzeit noch offiziell supporteten Geräte der Nexus-Linie sowie das Pixel C begonnen. Das älteste Gerät in dieser Liste ist derzeit das Nexus 7 (2013). Wie gewohnt kann es einige Tage dauern, bis alle Geräte das Update auch tatsächlich erhalten, wer nicht so lange warten will, kann auch ein Factory Image oder das passende OTA-Paket manuell einspielen. Letzteres geht auch ohne Datenverlust, setzt allerdings eine gewisse Vertrautheit mit Kommandozeilen-Tools wie adb voraus.

Samsung

Kurz nach Google hat sich mit Samsung auch der größte Android-Hersteller zu Wort gemeldet. In einer eigenen Ankündigung verspricht man eine passende Aktualisierung für die eigenen Geräte, zudem weist man dort Fehlerbereinigungen für neun zusätzliche Sicherheitslücken aus, die die Android-Modifikationen durch den Hersteller betreffen. Eine genaue Liste von Smartphones und Tablets, die das Update erhalten werden, fehlt dabei allerdings ebenso wie eine konkrete Zeitangabe zur Veröffentlichung.

Bei vielen aktuellen Android-Geräten lässt sich der Sicherheitsstatus über die Systeminformationen abfragen. Dort findet sich ein Punkt namens "Android Security Patch Level", der zeigt, auf welchem Stand das Gerät ist. Mit der aktuellen Ankündigung wird dieser Wert auf den 1. Juni 2016 erhöht. (Andreas Proschofsky, 8.6.2016)

  • Google liefert neue Updates für Android.
    foto: andreas proschofsky / standard

    Google liefert neue Updates für Android.

Share if you care.