Android-Patchday: Google stopft erneut kritische Löcher im Mediaserver

Google hat die August-Sicherheitspatches für Android veröffentlicht. Sie schließen unter anderem drei als kritisch eingestufte Lücken im Mediaserver, die es einem Angreifer mithilfe speziell gestalteter Dateien erlauben, Schadcode einzuschleusen und auszuführen. Davon betroffen sind Android 4.4.4 KitKat, 5.0 und 5.1 Lollipop sowie 6.0 Marshmallow. Insgesamt hält der August-Patchday Fixes für 103 Schwachstellen bereit.

Von weiteren acht Anfälligkeiten im Mediaserver geht ein hohes Risiko aus. Sie können für Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Rechten benutzt werden. Als moderat bewertet Google indes Fehler in den Komponenten Shell, OpenSSL, Camera-API, WLAN, System UI und Bluetooth. Hier erhalten Angreifer unter Umständen höhere Nutzerrechte oder Zugriff auf persönliche Informationen.

Wie schon im Vormonat verteilt Google auch im August einen zweiten Patch mit Fixes für Treiber von Drittanbietern. Er stopft 81 Löcher, von denen Google 44 als kritisch bezeichnet. 53 sicherheitsrelevante Fehler stecken alleine in Komponenten von Qualcomm. Aber auch Treiber von Nvidia, LG Electronics und MediaTek sind anfällig. Darüber hinaus wurden Schwachstellen in zahlreichen Kernel-Komponenten beseitigt, darunter der Kernel-Video-Treiber, die Sound-Komponenten, das Speichersystem und die Netzwerk-Komponente.

Die Fixes sollen in erster Linie eine nicht autorisierte Ausweitung von Nutzerrechten verhindern. Es sind aber auch Denial-of-Service-Angriffe sowie das Ausspähen von persönlichen Informationen möglich, Letzteres beispielsweise durch eine Anfälligkeit in den USB-Treibern.

Google verteilt die Patches in den kommenden Tagen Over-the-Air an seine Nexus-Geräte. Auf der Entwicklerseite stehen außerdem Firmware-Images zum Download bereit. Nach der Installation sollten Smartphones und Tablets die Sicherheitspatch-Ebene 5. August anzeigen.

Googles Partnern sind die Details der Schwachstellen schon seit 6. Juli oder früher bekannt. Blackberry, LG und Samsung haben die Korrekturen bereits in eigene Patches integriert. Blackberry stellt ab sofort ein Update für das Blackberry Priv zur Verfügung, dass 41 Sicherheitslücken schließt und das Smartphone auf die Sicherheitspatch-Ebene 5. August hebt.

Das Update von LG richtet sich an die Modelle G3, G4, G4 Stylus, G5, V10, CK und G Stylo. Es beinhaltet insgesamt 75 Fixes, erreicht laut LG aber nur die Sicherheitspatch-Ebene 1. August – es fehlen demnach Korrekturen für Fehler in Hardwaretreibern und Kernel-Komponenten.

Samsung wiederum stopft 56 Löcher in Android und weitere 8 Lücken in seinen eigenen Android-Anwendungen. Darunter ist eine bereits öffentlich bekannte Schwachstelle, die es erlaubt, während der Einrichtung eines Geräts schädliche Anwendungen einzuschleusen. Zumindest in seinem Security Bulletin macht Samsung keine Angaben zur Sicherheitspatch-Ebene.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de