Google schließt dutzende Sicherheitslücken in Android

7. Juli 2016, 07:46
17 Postings

Juli-Update fällt besonders umfangreich aus – Wieder kritische Lücken im Mediaserver sowie OpenSSL-Fehler

Seit dem vergangenen Sommer veröffentlicht Google jeden Monat eine neue Sammlung an sicherheitsrelevanten Fehlerbereinigungen für sein mobiles Betriebssystem Android. Die Hoffnung dahinter ist, dass sich immer mehr Hersteller diesem Rhythmus anschließen, selbst geht man mit den passenden Updates für aktuelle Nexus-Geräte mit gutem Beispiel voran.

Juli-Update

Nun ist es wieder einmal soweit, und das neue Android Security Bulletin hat es wirklich in sich. Mit dem Juli-Update schließt Google dutzende Fehler quer durch sämtliche Bereiche des Betriebssystems. Darunter befinden sich einmal mehr gleich mehrere kritische Fehler im Android Mediaserver, die etwa über eine manipulierte Grafik in einer Webseite zur EInschmuggelung von Schadcode auf ein ungeschütztes Gerät genutzt werden könnten. Der Großteil dieser insgesamt sieben Fehler betrifft alle von Google noch mit Patches versehenen Android-Versionen – also von Android 4.4 aufwärts. Informationen zur Verwundbarkeit älterer Android-Ausgaben liefert man zumindest in dieser Übersicht noch nicht.

Ebenfalls als kritisch kategorisiert Google einen Bug in OpenSSL beziehungsweise in Googles eigenem Fork BoringSSL, auch dieser könnte zum Einschmuggeln von Schadcode genutzt werden. Dazu kommen dann noch Fehler in zahlreichen anderen Komponenten, die Google mit den Warnstufen "hoch" oder "moderat" versieht.

Doppelschlag

Doch damit ist hier lediglich der erste Teil der Sicherheitsfixes abgehandelt, und zwar jene, die sämtliche Android-Versionen betreffen. Erstmals weist Google nämlich hardwarespezifische Fehler gesondert aus, und hier könnte dann schnell der Eindruck entstehen in einen tiefen,dunklen Abgrund zu starren. Werden hier doch kritische Lücken in den Treibern von Qualcomm, Nvidia und Mediatek gelistet, auch der USB-Treiber von Android sieht sich mit einem Problem der höchsten Stufe konfrontiert. Dazu gibt es eine recht generisch klingende Sammlung an Bugs, die zur Erhöhung der Nutzerrecht über Fehler in unterschiedlichen Qualcomm-Komponenten genutzt werden können. Dies reicht vom Bootloader über den Kameratreiber bis zur Netzwerkkomponente.

Bei all diesen hardwarespezifischen Fehlern gibt Google im Security Bulletin jeweils einzeln an, welche der eigenen Geräte betroffen sind. Unter eigene Geräte zählt man alle aktuell noch unterstützten Nexus-Modelle (das älteste ist derzeit die 2013er-Ausführung des Nexus 7) sowie die Android One Smartphones und das Pixel C.

Auswahlmöglichkeit

Diese Zweiteilung des Security Bulletin hat übrigens nicht bloß organisatorische Gründe, es ergebsich daraus auch praktische Konsequenzen. Google will den Herstellern so mehr Flexibilität in der Auslieferung der Updates geben, argumentiert zumindest das Unternehmen selbst. Die Idee dahinter ist, dass die Partner den allgemeinen Fixes in Android höchste Priorität geben sollen, immerhin betreffen diese alle Geräte, und sind somit auch jene Bugs, die am ehesten für Angriffe genutzt werden.

Mit dieser Trennung gehen auch zwei unterschiedliche Patch Level einher: Wer "nur" all die gelisteten allgemeinen Android-Fehler bereinigt, kann diesen in den Systeminformationen aktueller Geräte angeführten Eintrag auf 2016-07-01 erhöhen, wer auch noch all die jeweils betreffenden hardwarespezifischen Fehler aufräumt, darf den Security Patch Level auf 2016-07-05 anheben.

Updates von Google und anderen

Google selbst hat mit der Auslieferung von Updates für die eigenen Geräte begonnen, die all die angeführten Fehler ausräumen. Wie immer erfolgt die Auslieferung dabei in Wellen, es kann also durchaus eine Woche dauern, bis die neue Version bei allen Nutzer ankommt. Für ungeduldige gibt es Full System OTA Abbilder zum manuellen Updaten oder auch Factory Images, um ein Gerät vollständig neu einzurichten.

Ebenfalls gewohnt schnell präsentiert sich Blackberry mit der Veröffentlichung eines Updates für seine Android-Smartphone Priv. Bei Samsung hat man ebenfalls ein neues Security Bulletin veröffentlicht, das zusätzlich noch einige Samsung-spezifischen Fehler anführt. Wann hier Updates für welche Geräte genau kommen, lässt sich daraus aber einmal mehr nicht schließen. (Andreas Proschofsky, 7.7.2016)

  • Artikelbild
    grafik: google
Share if you care.