Google schließt erneut kritische Lücken im Android-Mediaserver

Google hat erneut sieben kritische Sicherheitslücken in der Mediaserver-Komponente seines Mobilbetriebssystems Android geschlossen. Einer Sicherheitsmeldung zufolge kann ein Angreifer mithilfe speziell gestalteter Mediendateien Speicherfehler auslösen und aus der Ferne Schadcode einschleusen und ausführen. Die gefährlichen Dateien können wiederum über MMS-Nachrichten oder beim Besuch einer Website auf ein Android-Gerät gelangen.

Drei der sieben Schwachstellen stecken in Android 4.4.4 KitKat, Android 5.x Lollipop und Android 6.x Marshmallow. Vier Anfälligkeiten im Mediaserver betreffen indes nur die jüngste Android-Version. Google weist darauf hin, dass der Mediaserver über Rechte verfügt, die Apps von Drittanbietern normalerweise nicht erhalten.

Insgesamt bringt Googles April-Patchday Fixes für 39 Anfälligkeiten. Sie stecken unter anderem in den Komponenten DHCP, Media Codec, Kernel, IMemory Nativ Interface, Download Manager, Recovery Procedure, Bluetooth, System-Server, Exchange ActiveSync, Setup Wizard und WLAN. Einige Fehler betreffen indes nur Geräte mit bestimmter Hardware von Qualcomm oder Texas Instruments. Die Mail-Anwendung des Android Open Source Project gibt zudem unter Umständen persönliche Informationen preis.

Gefunden wurden die Schwachstellen unter anderem von Mitarbeitern des Google Chrome Security Team, des Google Project Zero und des Google Telecom Team. Viele Fehler wurden aber auch durch externe Sicherheitsforscher aufgedeckt, unter anderem von Firmen wie Alibaba, Trend Micro, Qualcomm, MWR Labs, Qihoo 360, Census und Vertu.

Aktuelle Factory Images für die Nexus-Geräte verteilt Google ab sofort über seine Entwickler-Site. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 2. Arpil 2016 angezeigt werden.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Der ZDNet-Artikel „Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Derzeit steht zumindest laut Samsung-Website sogar noch das März-Sicherheitsupdate aus.

Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de