Android: Google schließt kritische Lücken, macht Sicherheitslage unübersichtlicher

    3. Oktober 2017, 12:46
    3 Postings

    Update für Nexus und Pixel-Geräte wird bereits ausgeliefert – Teil der Bugfixes nun "optional"

    Der erste Montag im Monat wäre absolviert, was auch bedeutet: Es gibt wieder neue Sicherheits-Updates von Google. Im Oktober schließt der Softwarehersteller dabei wieder eine Reihe von Lücken quer durch alle Bereiche von Android.

    Und ewig grüßt das Murmeltier

    Das schwerste Problem betrifft dabei – wieder einmal – das Media Framework von Android, wo Angreifer potentiell von Außen Schadcode einschmuggeln könnten und zur Ausführung bringen könnten. Genau genommen sind es dieses Mal drei solcher kritischen Fehler, die Google dieses Monat listet – und damit übrigens noch immer deutlich weniger als in den Vormonaten.

    Auch sonst fällt am aktuellen Security Bulletin auf, dass die Liste der geschlossenen Lücken erheblich kürzer ist. Dafür gibt es allerdings eine gute Erklärung: Gibt es nun doch ein separates Bulletin für Nexus- und Pixel-Geräte. Was auf den ersten Blick nach einer logischen Lösung klingt, um gerätespezifische Bugs getrennt zu listen, sorgt bei näherer Betrachtung aber für Verblüffung. Finden sich doch hier jede Menge Fehler, die in Kernbestandteilen von Android zu finden sind, also auch andere Geräte betreffen.

    Optionale Sicherheitsbereinigungen?

    Was das Nexus / Pixel Bulletin auszeichnet ist hingegen ein ganz anderer Umstand: Alle hier gelisteten Bugfixes sind optional. Das heißt sie können von anderen Herstellern übernommen werden, für das Erreichen des aktuellen Patch-Levels 5. Oktober 2017 sind sie aber nicht notwendig. Einen Grund für diese Trennung nennt Google nicht. Klar ist aber, dass dadurch der Wartungsaufwand für die Hersteller etwas geringer wird, weil die Zahl der unbedingt notwendigen Fixes für einen gewissen Sicherheits-Patch-Level geringer wird. Zudem fällt auf, dass im Nexus / Pixel-Bulletin vor allem Lücken mit geringer Gefährdungslage angeführt werden, das eine oder andere mit "hoch" klassifizierte Problem findet sich aber auch hier.

    Unklare Lage

    Für die Nutzer wird die Situation damit aber deutlich unübersichtlicher. Immerhin sagt ein aktueller Patch Level eben nicht mehr aus, dass auch wirklich alle bekannten Sicherheitslücken geschlossen wurden. Google garantiert das zwar für seine eigenen Geräte, wie das dann andere Hersteller halten, bleibt vorerst aber unklar.

    Updates

    Mit der Veröffentlichung des Security Bulletins geht auch die Freigabe von Update für alle noch unterstützten Geräte der Nexus und Pixel-Reihen einher. In diesem Zuge hat Google auch gleich eine Reihe von nicht-sicherheitsrelevanten Fehlern bereinigt, etwa welche die zu spontanen Neustarts bei den Pixel-Modellen geführt haben.

    Samsung hat ebenfalls bereits ein aktualisiertes Security Bulletin veröffentlicht, wann entsprechende Updates folgen, ist noch nicht bekannt. (Andreas Proschofsky, 3.10.2017)

    • Artikelbild
      foto: dado ruvic / reuters
    Share if you care.