Categories: MobileMobile OS

Google stopft 108 Sicherheitslöcher in Android

Google hat im Rahmen seines Juli-Patchdays 108 Sicherheitslücken in Android geschlossen. Davon stuft das Unternehmen 20 als kritisch ein. Der größte Teil der Anfälligkeiten steckt in Treibern von Chipherstellern wie Qualcomm, MediaTek und Nvidia für Hardwarekomponenten wie Prozessoren, Grafikchips, WLAN, USB, Kamera und Display.

Updates stehen ab sofort aber nicht nur für die Nexus-Geräte von Google zur Verfügung. Auch Samsung, LG und Blackberry machen mit eigenen Bulletins auf diverse Schwachstellen aufmerksam – einige davon betreffen nur ihre Produkte. Samsung und LG veröffentlichten ihre Sicherheitsmeldungen gestern Abend sogar erstmals vor Google.

Dem Internetkonzern zufolge stecken kritische Lücken unter anderem im Mediaserver, OpenSSL und BoringSSL, dem Nvidia-Video-Treiber, einem gerätespezifischen WLAN-Treiber von MediaTek sowie einem GPU-Treiber und dem Treiber einer gerätespezifischen Performance-Komponente von Qualcomm. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne.

HIGHLIGHT

Android und das Update-Problem

Nach der "Mutter aller Sicherheitslücken" in 2015, dem sogenannten Stagefright-Bug, versprachen die Hersteller Besserung in Form von monatlichen Sicherheitsupdates. Allerdings gibt es nur wenige Firmen, die diese Ankündigung in die Tat umgesetzt haben.

Davon betroffen sind alle Nexus-Geräte mit Android 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1. Auch Blackberry, LG und Samsung erwähnen diese Schwachstellen in ihren Sicherheitsmeldungen. Sie sollten sich damit also auch in Geräten aller anderen Hersteller mit den genannten Android-Versionen finden.

Samsung selbst stopft Sicherheitslöcher weiterhin nur in seinen Spitzenmodellen Galaxy S7, S7 Edge, S6, S6 Edge, S6 Edge+, S6 Active, S5, S5 Active, Note 4, 5 und Edge sowie Galaxy A5x. LG versorgt nur die Modelle G3, G4, G4 Stylus, G5, V10, CK und G Stylo mit Patches, während Blackberry sein gesamtes Android-Sortiment bedient – das allerdings nur aus dem Blackberry Priv besteht.

Eine weitere Besonderheit des Juli-Patchdays ist, dass er zwei Security-Patch-Level hat, an denen Nutzer erkennen können, welche Schwachstellen auf ihren Geräten tatsächlich geschlossen wurden. Geräte mit Android-Sicherheitsebene 1. Juli 2016 haben nur die Patches für die reinen Android-Anfälligkeiten erhalten. Die Fixes für die 75 Fehler in Treibern von Qualcomm, MediaTek und Nvidia sind nur installiert, wenn ein Gerät die Sicherheitsebene 5. Juli 2016 anzeigt. Letzteres versprechen nur Google und Blackberry. Während Samsung in seinem Advisory keine Angabe zum Patch-Level macht, inkludiert LG nur die Sicherheitsebene 1. Juli 2016. Ob LG oder Samsung aber tatsächlich nicht von den Treiberfehlern betroffen sind, ist unklar.

Besitzer von Nexus-Geräten sollten die Updates in Kürze Over the Air erhalten. Auf der Entwickler-Seite stehen aber auch neue Firmware-Images für Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) und Nexus 9 sowie Nexus Player und Pixel C zum Download bereit. Blackberry, LG und Samsung beseitigen die Anfälligkeiten ebenfalls per Over-the-Air-Update. Während Google und Blackberry die Updates für ihre Telefone bereits ausliefern, dürfte es bei den anderen Herstellern noch etwas dauern. So wartet beispielsweise das nicht von einem Mobilfunkprovider angebotene Galaxy S6 Edge hierzulande noch auf den Juni-Patch.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago